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Avant-propos 



Que l’on soit auditeur, audité ou commanditaire d’un audit, comment utiliser 
l’audit pour mieux gérer, mesurer, améliorer et adapter une relation, une 
organisation, ou un système ? Comment atteindre une pratique de l’audit 
qui s’inscrive dans une logique d’efficience et de performance maximale en 
utilisant des leviers comme le multiréférentiel, les systèmes intégrés, l’audit 
rapide, la performance, l’innovation ? 

Quelle pourrait donc être cette approche universelle, efficiente, multiréfé- 
rentiel de l’audit ? 

Une approche pratico-pratique qui serait basée sur des retours d’expériences 
terrain, outils et méthodes variés et adaptées à chaque situation. Une appro- 
che ayant fait ses preuves dans la durée et dans l’espace. Une approche 
qui serait un complément judicieux aux démarches traditionnelles d’audit 
système (qualité, sécurité et environnement : QSE), qui pourrait aborder 
les différentes facettes de l’audit, c’est-à-dire à la fois la technique d’audit, 
le comportement des auditeurs et des audités, la dimension humaine et 
relationnelle, ainsi que les différents référentiels d’audits de divers secteurs 
économiques et métiers. 

Une approche plus opérationnelle, plus efficiente et plus performante pouvant 
s’appliquer à la démarche d’audit classique et également à d’autres situations 
plus ciblées (audit financier, audit technique, audit d’organisation, audit de 
projet, audit de systèmes d’information, etc.). Une approche traitant de la 
dimension « savoir-faire » mais aussi du « savoir être » et de la nécessaire 
mobilisation de toutes les parties prenantes concernées. À savoir les audi- 
teurs et audités, mais aussi les commanditaires, les responsables d’audits, 
les organismes de certification et autres conseils et experts. 

Une approche couvrant des métiers peu traités à cejoursous l’angle « audit » 
comme par exemple les « systèmes d’information », les « audits projet » 
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et surtout une approche d’audit multi-intégré (au-delà du QSE). Métiers 
évidemment traités par l’audit mais très rarement avec l’angle de l’audit 
méthodique (au sens méthode normalisée au niveau international), 
indépendant et efficient. 

Une telle approche se devait d’être décrite. Et plus qu’une simple description, 
elle méritait un guide pratique. Car au-delà de la présentation de principes, 
méthodes et savoir-faire utiles à la mise en œuvre, c’est bien la pratique 
qui doit être assimilée. Assimilation facilitée par un transfert de retours 
d’expérience et la mise à disposition d’exemples, cas pratiques, check-list, 
questionnaires et autres modèles. 

Avec une telle approche, l’audit devient aussi un outil indispensable au 
management, à la mesure, à l’adaptation, au progrès de nos organisations. 
Lorsqu’il est pratiqué avec efficience, le retour sur investissement est maximal 
et la satisfaction de chaque partie prenante est totale. L’audit ainsi redéfini est 
plus adapté à la société actuelle qui réclame plus de flexibilité, de réactivité, 
de valeur ajoutée, de performance. 

Un tel ouvrage devenait indispensable. 

Bonne lecture... bonne mise en œuvre... et bonne pratique. Pour toujours 
plus de valeur ajoutée ! 
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Introduction 



Bien souvent, l’audit s’apparente à un examen, un mauvais moment à passer, 
un gagne-pain, un mal nécessaire, un moyen de pression, une fin en soi, une 
habitude, une perte de temps, un parcours du combattant. L’audit est pour 
certains un coûteux marathon de plusieurs... semaines sur plusieurs sites, 
plusieurs régions voire plusieurs pays. Pour d’autres, un agréable voyage 
touristique. L’audit est aussi parfois subi. Le terme « audit », parfois utilisé à 
tort et à travers de façon inadaptée, désigne divers types d’évaluations, de 
diagnostics, d’états des lieux et d’autres expertises. 

L’audit à valeur ajoutée tel que traité dans cet ouvrage est, lui, utilisé comme 
un outil de mesure normalisé et efficient. 

Cet ouvrage aborde l’audit sous l’angle principal de l’apport de valeur ajoutée. 
La première partie permet de comprendre en quoi l’audit à valeur ajoutée 
diffère de l’audit tel que chacun d’entre nous le pratique au quotidien. Et 
pour faciliter la compréhension, l’assimilation et la mise en œuvre, chaque 
chapitre est complété de recommandations « pratico-pratiques » sous forme 
d’encadrés synthétiques. 

La deuxième partie permet quant à elle d’aller plus loin dans la mise en œuvre 
en apportant des éléments de réponse aux situations particulières et aux 
spécificités les plus souvent rencontrées ces trois dernières années. 

Cet ouvrage est donc destiné tant aux auditeurs qu’aux audités et aux clients 
de l’audit. Il est conçu pour être pratique (retours d’expérience, modèles, 
check-list, questionnaires, etc.). Il est innovant sur la manière de pratiquer 
l’audit. Il aide à être performant. Il est aussi contraignant car il incite et pousse 
à une recherche permanente de l’efficience (en effet, il n’est pas facile d’auditer 
en trois jours ce qui est habituellement audité en dix jours ou plus). Et même si 
nous rencontrons des difficultés ou des résistances lors de la mise en œuvre, 
nous nous devons de persévérer. La valeur ajoutée en dépend. 
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L’audit à valeur ajoutée, 
pourquoi 
et comment ? 




« Audit », un simple mot plein de sens. D’un dictionnaire à l’autre, d’un 
métier à l’autre, ce mot peut avoir des significations bien différentes. Et pour 
pimenter la chose, nous ne parlerons pas ici de « simple audit » mais bel et 
bien d’audit à valeur ajoutée. 

Mais en quoi l’audit à valeur ajoutée diffère-t-il de l’audit tel que chacun 
d’entre nous le pratique au quotidien ? 

L’audit, tel que présenté dans cette partie, combine les exigences normatives 
internationales en matière d’audit d’une part, des retours d’expérience de 
mise en oeuvre d’autre part, et également des rubriques pratico-pratiques 
qui complètent utilement la compréhension. 

Découvrons simplement ci les différentes notions qui sont développées dans 
cet ouvrage. 

L’audit à valeur ajoutée se présente comme un examen méthodique et 
indépendant permettant de mesurer une situation par rapporté un référentiel. 
Il mobilise différentes parties prenantes selon un processus bien réglé 
et déterminé garantissant la qualité et l’efficience du résultat de l’audit 
(cf. figure A.1). 

Si ces points sont essentiels, le savoir être de l’auditeur et sa nécessaire 
maîtrise opérationnelle du sujet audité sont, quant à eux, fondamentaux 
(cf. figure A.1). 
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Figure A.1 Les différentes dimensions de l’audit 
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L'audit à valeur ajoutée, 
plus qu'un outil de mesure 
méthodique et indépendant 




1 




« Vous n’avez pas raison parce que d’autres sont d’accord avec vous. 

Vous avez raison parce que vos faits sont exacts et que votre raisonnement est juste. » 

Warren BUFFET 

Selon les normes internationales, l’audit est un processus méthodique, 
indépendant et documenté. Qu’est ce que cela signifie au juste ? Et de quoi 
faut-il tenir compte en plus pour apporter de la valeur ajoutée ? 

Aïe, aïe, aïe ! Ça commence fort ! 

Eh oui ! il fallait, avant d’entrer dans le vif du sujet, commencer par revenir 
aux fondamentaux. C’est l’objet de ce chapitre : la définition de l’audit comme 
outil de mesure, l’audit à valeur ajoutée dans la durée, les dimensions 
« méthodique » et « indépendant » de l’audit. Et enfin, l’incontournable 
notion de « référentiel » sans laquelle nul audit n’est possible. 

Un minimum de concentration, pour un maximum de plaisir. Et rappelez- 
vous que « le premier cadeau Bonux, c’est la blancheur » ! Donc, ici, les 
fondamentaux de l’audit. Et puis, pour certains, le blanc est une valeur avant 
d’être une couleur. Donc ici, la notion de valeur ajoutée. 

Nous vous l’avons dit, vous ne verrez plus jamais l’audit comme avant. C’est 
parti pour une visite accompagnée. Suivez le guide ! 



■■ L’audit comme outil de mesure, 
ça fonctionne comment ? 

Découvrons cet outil de mesure en nous intéressant à la définition de l’audit, 
à l’indispensable fiabilité de la mesure et aux objectifs possibles de l’audit. 

□ La définition de l’audit 

Commençons par définir l’audit. À chacun ses saints. Les nôtres sont les 
normes ! 
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Selon les normes ISO 9000:2005 et ISO 19011:2002, l’audit est défini 
comme un : 

« processus méthodique, indépendant et documenté permettant d’obtenir 
des preuves d’audit et de les évaluer de manière objective pour déterminer 
dans quelle mesure les critères d’audit sont satisfaits ». 

ISO 19011:2002 

Les preuves d’audit sont définies quant à elles comme des : 

I « enregistrements, énoncés de faits ou autres informations pertinentes pour 
les critères d’audit et vérifiables ». 

ISO 19011:2002 

La notion de preuve peut avoir une connotation négative (« accusé, levez- 
vous »). Elle est pourtant fondamentale car elle contribue à crédibiliser la 
mesure. 

Les critères d’audit étant les : 

I « ensembles de politiques, procédures ou exigences utilisées comme 
référence ». 

ISO 19011:2002 

Beaucoup de notions et d’éléments fondamentaux se cachent derrière cette 
définition. Alors, finie la partie de cache-cache, décortiquons ensemble 
chacune des composantes essentielles de ces définitions. 

-» Voir encadré pratico-pratique « la définition de l’audit en images » 



Pratico-pratique 

La définition de l’audit en images 



Rappel de la définition « officielle » de l'audit vue plus haut. L'audit est un : 

« processus méthodique, indépendant et documenté permettant d’obtenir 
des preuves d’audit (enregistrements, énoncés de faits ou autres 
informations pertinentes pour les critères d’audit et vérifiables) et de 
les évaluer de manière objective pour déterminer dans quelle mesure 
les critères d’audit (ensembles de politiques, procédures ou exigences 
utilisées comme référence) sont satisfaits » 

ISO 19011:2002 

Rappelons le fonctionnement d'une organisation mettant en place un système de 
management. Pour être conforme à un référentiel (ISO 9001:2008, ISO 27001:2007, 
ISO 14001:2004, référentiel produit, norme NF, etc.) représenté par l’axe « Référentiel- 
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Objectifs » (cf. figure 1.1) et à ses propres objectifs et stratégie représentés également par 
le même axe « Référentiel-Objectifs », une organisation définit des dispositions, règles, 
procédures, etc., représentées par l'axe « Dispositions préétablies » (cf. figure 1.1) 
pour maîtriser ses activités. Ses activités génèrent des résultats (contrats, comptes 
rendus, rapport, base de données, etc.) représentés par l'axe « Activités-Résultats » 
(cf. figure 1.1). 



Les “critères d’audit” font partie des axes 
« Référentiel-Objectifs » et « Dispositions 
préétablies » 



Référentiel 




Activités 

Résultats 



Les “preuves d'audit” font partie de l'axe 
« Activités-Résultats » 

Figure 1.1 La définition de l'audit en images 



Le schéma de la figure 1.1 est une interprétation possible de la définition de l'audit. La 
définition est riche (efficacité de la mise en œuvre des actions, aptitude des dispositions 
à atteindre les objectifs, etc.). Même si ce schéma est simplificateur par rapport à la 
richesse de la définition, il permet de se focaliser sur l'essentiel. 

Ce schéma matérialise 3 angles d'analyse à traiter en parallèle durant l'audit : 

• Les angles [1 ] et [2] correspondent à la partie audit terrain (sur site). Pour l'angle [2], 
il s'agit d'observer la cohérence entre ce qui estfait (les activités) et réalisé (résultats) 
et les dispositions préétablies (manuel, plan) [2], Pour l'angle [1], l’assurance que ce 
qui estfait produit des résultats satisfaisants en regard de la politique, objectifs et des 
référentiels (efficacité du système de management, etc.). 

• L'angle [3] correspond à la partie audit documentaire (hors site) : ce qui est défini 
(manuel, plan, procédure) est bien conforme aux exigences ou objectifs. 

Le but d'un système de management efficace est de faire tendre les « résultats »s vers 
les « dispositions » et les « dispositions » vers le « référentiel ». 
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□ La fiabilité de la mesure 

Comme tout outil de mesure, un audit n’a de réel intérêt que s’il permet 
de réaliser une mesure fiable. « Évident, mon cherWatson ! ». Quel crédit 
peut-on donner à la température restituée par un thermomètre défaillant ? 

Et ce qui est évident pour le thermomètre doit l’être aussi pour l’audit. Rien n’est 
moins sûr. Pourque la mesure restituée parunaudit soit fiable, il est nécessaire 
de valider plusieurs points comme le respect des normes et des standards, 
ainsi que la nécessaire adaptation au contexte. Ou encore l’utilisation de base 
de retours d’expérience et la mobilisation pertinente d’experts. 

Tout d’abord, il faut donc connaître les normes et standards reconnus en 
matière de maîtrise des techniques d’audit. On s’intéressera en priorité aux 
normes et standards les plus usités dans le contexte de l’audit. La norme la 
plus générique, adaptable à tout métier, à tout secteur économique et tout 
pays, est l’ISO 19011:2002 « Lignes directrices pour l’audit des systèmes 
de management : conseils pour le management d’un programme d’audit, 
les activités de l’audit et les compétences des auditeurs ». 

-►Voir encadré pratico-pratique « Les lignes directrices 
POUR L’AUDIT DES SYSTÈMES DE MANAGEMENT (ISO 19011:2002) » 

L’IS0 1 9011 :2002 fournit également diverses aides et exemples facilitant la 
compréhension de ses lignes directrices. 

Nous disons bien ici qu’il faut connaître de telles normes et standards. Ce qui 
ne veut pas dire qu’il faille les appliquer systématiquement et strictement en 
l’état. Toute adaptation est acceptable dès lors qu’elle est maîtrisée. C’est- 
à-dire que l’écart avec le standard est pertinent, explicité et justifié. 

Ensuite viennent donc les adaptations des étapes de l’audit et de l’équipe 
d’audit à la taille et à la complexité de l’organisation auditée. La taille est 
un critère classique et habituel (cf. « Compréhension de l’audité » p. 42). 
La criticité est, quant à elle, moins habituelle. Elle s’évalue par exemple en 
terme de nombre de processus, de produits et services, de sites, d’entités 
au sens directions, filiales, agences, etc. 

Comme une température juste est donnée par un thermomètre correctement 
étalonné, un résultat d’audit juste sera donné par un auditeur correctement 
« étalonné ». Comment l’étalonnage est-il envisageable pour un auditeur ? 

Pour « s’étalonner », l’auditeur doit partager avec d’autres auditeurs 
et experts, ce qui lui permet une mesure par échange et comparaison 
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Pratico-pratique 

Les lignes directrices pour l’audit des systèmes de management 
(ISO 19011:2002) 



Conçue pour les systèmes de management de la qualité (ISO 9001) ou environnemental 
(IS0 14001), cette norme s'applique à tous les systèmes de management. Par exemple 
système de gestion de service informatique (ISO 20000-1), système de management 
de la santé et de la sécurité au travail (OHSAS 18001), système de management de 
l'information (ISO 27001). 

L'ISO 19011:2002 donne des conseils sur : 

- le management d'un programme d'audit: objectifsdu programme, responsabilités, 
ressources, procédures, enregistrements, surveillance et revue : 

• généralités comme le nombre d'audit, les objectifs, les types, les 
responsabilités, le logigramme pour le management d'un programme ; 

• objectifs et étendus d’un programme d'audit ; 

• responsabilités, ressources et procédures du programme ; 

• mise en œuvre du programme d’audit ; 

• enregistrements relatifs au programme d'audit ; 

• surveillance et revue du programme d'audit. 

- les activités de l'audit : du déclenchement de l'audit à sa finalisation ; 

- les compétences des auditeurs : connaissances et aptitudes, qualités person- 
nelles, formation initiale et expérience (professionnelle et à l'audit), entretien des 
compétences et évaluation des auditeurs... (cf. chapitre 3). 



permanente. L’idéal étant, au-delà du partage, de tracer les échanges et 
les retours d’expérience dans une base de capitalisation mutualisée au sein 
d’un cercle de confiance. Sachant que les membres de cette communauté 
d’auditeurs de confiance doivent partager la même vision et le même état 
d’esprit quant à la pratique de l’audit. Car il pourra ainsi aussi s’enrichir de 
la capitalisation apportée par les autres auditeurs. 

Cette base de capitalisation peut contenir notamment les techniques d’échan- 
tillonnage des thèmes, sites, ou activités en fonction de différents critères. En 
effet, la consolidation, le croisement et la complétude des échantillonnages 
sur la durée vont permettre l’obtention de la mesure la plus complète et la 
plus fiable possible. Cette base peut également contenir les check-lists d’audit 
par métiers, par secteurs économiques voire encore plus précisément par 
croisement de métier-secteur (par exemple, audit des systèmes d’information 
dans le secteur bancaire, audit environnemental dans le nucléaire, audit 
qualité dans lesTPE, etc.). Voire encore par thématique métier (par exemple 
pour les systèmes d’information, audit de conception, audit de développement 
d’application, audit d’infrastructure ou audit de production). 
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En résumé, l’étalonnage d’un auditeur par rapport aux autres se fait au travers 
de la communauté d’auditeur à laquelle il appartient et au travers de la base 
de capitalisation à laquelle il a accès. Nous reviendrons sur ces notions de 
communauté et de base de capitalisation dans la suite de cet ouvrage. 

Enfin, pour être fiable, la mesure faite par l’auditeur doit pouvoir s’appuyer 
sur un réseau d’experts techniques fiables et compétents. L’auditeur ne peut 
tout savoir mais ne doit rien négliger. En cas de doute ou de manque de 
compétence sur un point précis, il doit pouvoir jouer son « joker et appeler 
un ami » c’est-à-dire demander l’avis d’un expert. Cet expert va apporter un 
juste éclairage sans être impliqué dans le processus d’audit. Plus l’auditeur 
possède une base d’experts pertinente par secteurs économiques (banque, 
industrie, etc.) par métiers techniques ou fonctionnels (production informa- 
tique, recherche et développement, électronique, formation) et par pays, et 
plus l’audit sera opérationnel et la mesure fiable. 

□ Les objectifs de l’audit 

Après s’être assuré de la fiabilité de la mesure, il faut s’intéresser aux objectifs 
de cette mesure. Pourquoi mesure-t-on ? Dans quel but ? 

Les objectifs de la mesure sont divers et complémentaires selon les 
contextes. Un audit donné peut avoir un seul ou plusieurs de ces objectifs. 
Nous verrons au chapitre 2 comment définir le ou les objectifs d’un audit. 
Sans attendre, parcourons ici les différents types d’objectifs possibles. Un 
audit peut avoir, d’une part, comme objectifs l’amélioration, la mesure d’une 
conformité ou encore l’évaluation d’un niveau de maturité. Et d’autre part, 
comme sujet d’évaluation un système, un produit, un service ou un projet. 

Un des objectifs de l’audit est de vérifier la conformité d’un système de 
management par rapport à un référentiel normatif de référence (par exemple, 
audit ISO 9001 :2008, IS0 14001 :2004, ISO 20000-1 :2005, ISO 27001 :2007). 
Il s’agit alors de révéler les non-conformités, de mesurer les écarts de mise 
en oeuvre mais aussi plus globalement de mesurer. C’est-à-dire de faire 
ressortir des observations tant positives que de progrès ou de non-conformité 
entre la référence (le référentiel normatif) et la définition et l’application du 
système de management. 

Dans le même esprit de conformité, mais de façon plus spécifique, l’objectif 
peut être de vérifier la conformité par rapport à un point précis ou à un 
référentiel restreint et défini parfois unilatéralement (par exemple, audit des 



14 




L'audit à valeur ajoutée , plus qu’un outil de mesure méthodique et indépendant 



commissaires aux comptes en milieu informatisé, audit d’un processus ITIL, 
audit d’exigences contractuelles, audit d’un projet, etc.). 

Toujours dans cet esprit de conformité, l’objectif peut être également de 
certifier au sens produit (parexemple, marque NF, certification Microsoft, cer- 
tification SAP) ou service (marque NF Services, engagement de services). 

Dans un autre registre, un objectif peut être la mesure de l’efficacité, de 
l’efficience ou de la maturité selon une échelle graduée. On parle alors 
souvent d’évaluation plus que d’audit. Et la notion de non-conformité n’est 
ici pas vraiment utilisée. Ce type de mesure facilite notamment l’attribution 
de prix ou l’établissement d’un classement (comme par exemple les trois 
degrés du dispositif de reconnaissance de l’excellence EFQM). Il peut aussi 
permettre une comparaison avec ses pairs comme c’est par exemple le cas 
pour les cinq niveaux de maturité du CMMI (« réalisé », « géré », « défini », 
« maîtrisé » ou « en optimisation »). 

Enfin, un autre objectif peut être d’apporter des améliorations. On parle 
alors dans ce cas, d’audit de progrès. Il vise à identifier des pistes possibles 
d’amélioration tant sur les produits et services que sur les méthodes de travail 
ou encore les processus. 

Attardons-nous quelques instants sur les objectifs de « conformité » et 
« d’amélioration ». Au sens élargi, la conformité à un référent est sous- 
jacente à tout audit. Et l’objectif « d’amélioration » est un objectif indispen- 
sable pour positiver l’audit. Nous reviendrons sur ces deux points dans la 
suite de l’ouvrage. 

Pour finir, insistons sur le fait que, quel que soit l’objectif de la mesure, le but 
reste de rendre l’audit opérationnel et utile pour toutes les parties prenantes. 
Sachant que pour plus de valeur ajoutée, l’audit doit en plus être efficient, 
c’est-à-dire capable d’atteindre l’objectif en mobilisant les moyens les plus 
pertinents, dans la durée la plus limitée possible. 

■■ L’audit à valeur ajoutée dans la durée, 
le programme d’audit 

L’audit à valeur ajoutée ne voit pas tout. En tout cas, pas en une seule fois. 
C’est-à-dire que l’audit à valeur ajoutée va permettre d’affiner le résultat à 
atteindre au fur et à mesure des audits réalisés. Et qu’il n’y a donc pas un 
seul audit mais une succession d’audits. 
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Par ailleurs, l’audit à valeur ajoutée n’est qu’un des moyens mis en œuvre 
pour servir un objectif plus global (une stratégie). Il se doit donc d’être mis 
en œuvre également dans le sens de cette stratégie et de contribuer ainsi 
à l’atteinte des objectifs plus globaux. 

Ces deux aspects introduisent la nécessité de mettre en place un programme 
d’audit. 

-♦Voir encadré pratico-pratique « L’intérêt du programme d’audit » 

Le programme d’audit est un 

« ensemble d’un ou plusieurs audit(s) planifié(s) pour une durée spécifique 
et dirigé dans un but spécifique » 

ISO 9000:2005 

ou un 

« ensemble d’un ou plusieurs audit(s) planifié(s) dans un laps de temps et 
dans un but déterminé » 

ISO 19001:2002 

Le programme d’audit est donc un outil de planification par excellence. 

Plus concrètement, par quoi cela se traduit-il ? 

Le programme d’audit permet de gagner en efficience. En apportant une 
vision d’ensemble des thèmes, sites, activités à auditer, il permet de mieux 
répartir et structurer les audits : par exemple, en prévoyant plusieurs audits de 
durée limitée répartis sur plusieurs sites plutôt qu’un seul audit de plusieurs 
dizaines de jours. Il permet aussi de mieux répartir les audits sur les diffé- 
rentes périodes de la vie de l’organisation (par exemple clôture d’exercice), 
de ses contraintes « saisonnières » (par exemple, pic de production, etc.), 
de ses produits/services, de ses contrats, plutôt que tout soit concentré à 
un instant T donné. 

Le programme d’audit est établi pour planifier un ensemble d’audits en 
phase avec une stratégie d’audit et permettant de garantir l’atteinte du 
résultat dans la durée. Autrement dit, toute organisation a une stratégie. 
Cette stratégie se décline selon différents axes au sein de l’organisation. 
L’audit, en tant qu’outil de mesure fait partie intégrante d’un de ces axes. 
La stratégie de l’organisation déclinée sur l’axe « audit » permet de définir 
le programme d’audit. 
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Dans cette logique, la stratégie d’audit est définie avec l’encadrement et le 
programme d’audit est conduit par une fonction indépendante de la fonction 
chargée de la mise en œuvre du système, produit, service, projet... audité. 

La planification et l’ordonnancement induit par le programme d’audit 
permettent d’établir le programme prévisionnel des audits à venir. Il est impor- 
tant de signaler que seuls les audits où le commanditaire et l’auditeur sont 
sous contrôle de l’organisation (à savoir essentiellement les audits internes 
et les audits seconde partie en tant que « client ») sont pris en compte. Par 
exemple, les audits de certification ou les audits seconde partie en tant que 
« fournisseur » ne font pas partie du programme d’audit (ils peuvent néan- 
moins y apparaître pour information seulement). En cours de programme, 
sur demande spécifique du commanditaire ou sur dysfonctionnement, un 
audit hors programme peut toujours être déclenché. 



Pratico-pratique 

L’intérêt du programme d’audit 



L'audit est un échantillonnage. On ne voit pas tout. D'où l'intérêt de travailler en continuité 
et dans la durée. Qu'est ce que cela signifie ? 

« Travailler en continuité » consiste à exploiter les audits, diagnostics, etc., réalisés 
précédemment quelle qu'en soit la nature c'est-à-dire interne, seconde partie, tierce 
partie. Et quelle qu'en soit la date de réalisation. Même les audits anciens sont 
intéressants car ils permettent de renseigner sur l'historique. 

« Travailler dans la durée » consiste à signaler dans le rapport d’audit ou dans une 
annexe séparée tout fait qui mérite d'être signalé et tout point qui nécessite d'être 
approfondi lors des audits suivants. De plus, tout retour d'expérience sur le contexte 
de l'audité, le comportement observé durant l'audit, les trucs et astuces des auditeurs 
méritent également d'être tracés. 

Le programme d'audit est l'outil idéal pour travailler dans la continuité et dans la durée. 
Il permet ainsi de prendre de la hauteur avec une vue d'ensemble au-delà d'un audit X 
du programme. Il permet de tracer les retours d'expérience et faits relevés à un instant T 
pour les porter à l'attention des prochains auditeurs, et leur permettre de prendre 
connaissance des consignes et retours émis par les auditeurs précédents. 

Enfin, il est important de pas confondre le programme d'audit qui n’est pas le plan d'audit 
au sens planification d'un audit particulier, tel que présenté au chapitre 2. 



Parce que ce qui est prévu ne se réalise jamais, le programme d’audit se 
doit d’être revu et complété, à fréquence régulière, à l’occasion d’un bilan. 
Ce dernier matérialise les audits prévus et réalisés, argumente sur les 
audits prévus et non réalisés et valorise les audits réalisés (sur demande ou 
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dysfonctionnement) mais non prévus initialement. Enfin, la cohérence par 
rapport au programme est démontrée. Le bilan est analysé en revue de mana- 
gement pour prendre les décisions qui s’imposent et procéder à l’ajustement 
de la programmation des audits pour la période à venir. 

Comme évoqué précédemment, le programme d’audit est un outil de pilotage 
et de planification important. Il doit donc être établi avec attention en tenant 
compte de plusieurs paramètres comme la stratégie d’audit, le cycle d’audit, 
le nombre d’audits par cycle. 

Il faut avant tout définir la stratégie d’audit par exemple en donnant la priorité 
aux audits de dysfonctionnements. Ou en définissant une criticité par thème 
et en établissant le cycle d’audits en fonction de cette criticité. Ou encore en 
couvrant les thèmes liés à l’opérationnel avec un « maillage plus resserré » 
(tous les ans par exemple) alors que les autres thèmes plus structurels (de 
soutien ou de management) seront répartis et vus tous les deux ans par 
exemple. Un thème peut être un processus, un produit ou service, un site, 
une direction ou un département de l’organisme. 

La notion de cycle est également intéressante. Le cycle correspond à la 
période et la logique de couverture de tous les thèmes. Habituellement, 
la durée du cycle est de 3 ans. L’intérêt du cycle est de définir une logique 
d’audit des thèmes « une bonne fois pourtoutes » en fonction de la stratégie, 
et de reproduire cette logique sur la durée. 

Le nombre d’audits par programme et par cycle dépend des besoins. Il peut 
être variable d’un contexte à l’autre. Par expérience, il vaut toujours mieux 
être raisonnable et efficient. C’est-à-dire, concrètement, de prévoir le mini- 
mum d’audits pour un maximum de résultats servant au mieux la stratégie 
de l’organisation. De même, le nombre de fois où un thème peut être audité 
sur un cycle dépend de l’importance du thème dans l’organisation. 

À l’intérieur du cycle, le programme d’audit peut être affiné pour la période 
à venir, période d’une durée d’un an (le plus fréquent) voire six mois. Il est 
utile de cadrer le programme d’audit avec les revues de management de 
l’organisme (qui permettent de le valider et d’en faire le bilan) ? 
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■■ L’audit à valeur ajoutée « méthodique », 
pourquoi et comment ? 

L’audit à valeur ajoutée, plus que tout audit, se doit d’être méthodique. 
Mais pourquoi ? Parce que le recours à la méthode permet d’être plus 
efficient, d’être plus exhaustif et de garantir la qualité des observations. Plus 
la méthode est complète (couvrant toutes les étapes) et éprouvée, et plus 
l’audit est à valeur ajoutée. 

À noter qu'une méthode est d'autant plus éprouvée qu'elle est mise en œuvre dans la 
durée et que la communauté d'auditeurs qui l'utilisent est large. 



La méthode permet d’être efficient avant tout. En audit, il ne faut rien oublier. 
Et pour tout prévoir, il est nécessaire de tout planifier. D’où l’importance du 
programme d’audit (cf. chapitre 2) et du plan d’audit (cf. paragraphe 2.2 
p. 39). De plus, en audit, tous les auditeurs le concéderont : on n’a jamais 
assez de temps. Comme il n’est pas possible de gagner du temps (tout est 
planifié) il faut donc éviter d’en perdre. L’auditeur à valeur ajoutée doit donc 
absolument se placer dans une logique de maîtrise du temps d’audit et dire 
« je n’ai pas pris le temps » plutôt que « je n’ai pas eu le temps ». 

La méthode permet ensuite de gagner en exhaustivité. Être exhaustif, c’est 
voirie maximum de thèmes en un minimum de temps. Rappelons que réaliser 
un audit de 20, 30 ou 40 jours consécutifs n’a que peu de sens. Et comme 
l’audit est un échantillonnage (on ne voit pas tout en une seule fois), il faut 
rationaliser son temps. Voici quatre moyens d’y parvenir : 

- 1 / il est nécessaire de travailler en couches progressives (cf. figure 1. 2). 
C’est comme si nous devions bâtir une photo d’une définition de 
10 millions de pixels en 10 fois (et pas en une seule fois). Comment 
procéderions-nous ? À la première couche de un million de pixels, nous 
répartirions les pixels de la façon la plus large possible pour avoir une 
vision d’ensemble. Nous utiliserions la deuxième couche pour mieux 
définir les zones complexes, denses, trop floues sans trop s’intéresser 
à la grande zone de ciel bleu que la première couche a fait ressortir. Et 
ainsi de suite pour les couches suivantes. Mais peut-être que ce que 
nous croyions être une grande zone de ciel bleu recelait en fait des 
détails importants. D’où l’intérêt de quand même répartir quelques pixels 
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sur les zones qui nous paraissent nettes et sans problème. En procédant 
ainsi, l’audit permet d’assurer la couverture la plus complète possible en 
auditant le juste nécessaire 1 . Et en complétant d’un audit à l’autre ; 

- 21 il est toujours utile de croiser les points de vue sur la manière 
d’échantillonner. En consultant par exemple les autres auditeurs 
mobilisés pour l’audit ou bien les auditeurs ou experts de sa communauté 
d’auditeurs ; 

- 3/ une fois l’échantillonnage planifié, il est intéressant de répartir les 
thèmes à auditer le plus judicieusement possible entre les différents 
types d’auditeurs ; 

- 4/ enfin, pour être exhaustif, il est important de croiser les sources 
d’information que ce soit lors de la préparation en mobilisant son 
réseau (externe ou interne à l’organisation auditée), les audités eux- 
mêmes ou bien encore le commanditaire de l’audit. Ou que ce soit lors 
de l’audit sur site en sollicitant les divers audités, experts et auditeurs 
impliqués. 



thème 1 thème 2 thème 3 thème 4 



thème N 




couche 4 



couche 3 



couche 2 



couche 1 




Thème audité et résultat OK 



p? j Thème audité et résultat insuffisant ou pas 
: 4J suffisamment audité 




Thème non audité 

Thème partiellement 
audité 



O Thème audité par échantillonnage 

Figure 1.2. L’audit en couches progressives 



La méthode permet enfin de garantir la qualité des observations. 



1 Principe de Pareto, loi des 20-80. 
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Fl Prenons un p remier exemple pour illustrer 

L'audit selon le cycle Plan-Do-Check-Act permet de reboucler en fin d'audit sur les 
informations collectées durant l’audit. C'est-à-dire qu'on audite le managementsur 
la définition, la planification, l'organisation et les orientations (Plan) en début d'audit. 
Puis, après avoir audité « le terrain », on effectue un rebouclage sur toutes les 
observations en fin d'audit, en auditant le management sur le Check et le Ad. 

Autre exemple où la méthode garantie la qualité des observations : la mise à jour 
des supports de prise de note dès le démarrage de l’audit et au fil des étapes de 
préparation (cf. § 2.2 p. 39). En effet, les étapes de compréhension de l’audit, 
de revue préliminaire d’ensemble, d’audit préalable « documentaire » hors site 
permettent de récolter de précieuses informations, qui se révéleront fort utiles 
notamment lors de l’audit sur site. D’où l’intérêt de tracer méthodiquement ces 
informations sur un seul et même support organisé. 



-* Voir encadré pratico-pratique « Le support de revue préalable en images » p. 51 

Nous venons de voir pourquoi il fallait être méthodique. Mais comment faire ? 

Plusieurs moyens existent. 

Fl 

Voici quelques exemples : travailler sur différents niveaux d’analyse, du plus global 
au plus détaillé, planifier en optimisant les intervenants, intégrer un maximum 
d’objectifs et de référentiels dans un même audit. 

1 

Un premier moyen peut donc être de travailler sur les quatre niveaux 

d’analyse possible, de la vision stratégique jusqu’aux outils : 

- premier niveau, la stratégie : connaître la stratégie de l’organisme... et 
sa déclinaison pour chaque fonction de l’organisation ; 

- deuxième niveau, l’humain : bien déterminer le rôle de chacun, les forces 
en présence, les circuits de décision, les responsabilités et autorités ; 

- troisième niveau, l’organisation (les processus) : identifier les processus 
de l’organisation, en commençant par la cartographie des processus et 
l’analyse des processus clés ; 

- quatrième niveau, les technologies, outils et autres moyens : recenser, 
si possible par processus, les différents procédures, modes opératoires, 
applicatifs, logiciels de test, infrastructures, budgets, locaux, moyens de 
production. 

-* Voir encadré pratico-pratique « Les quatre niveaux d’analyse » 
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Ces quatre niveaux permettent d’appréhender progressivement l’organisa- 
tion. L’ordre proposé ici est l’ordre le plus progressif (démarche top-down) 
mais peut être adapté selon les contextes et les situations. 



Pratico-pratique 

Les quatre niveaux d’analyse 



Premier niveau, la stratégie c'est-à-dire « vers quoi je vais » (quelle est ma finalité, 
ma raison d'être, ma ligne de conduite). Il s'agit donc ici de connaître la stratégie de 
l'organisation et sa déclinaison pour chaque fonction de l'organisation (production, 
étude, commercial, achat, etc.). 

Plus précisément, on s'intéresse à des caractéristiques du type : 

- dirigeant/leader performant, circuits de décision, etc. 

- marché à potentiel, Système concurrentiel favorable, etc. 

- offre pertinente et compétitive, etc. 

- dernières innovations de l'organisme, délai de maturité pour les produits issus 
de la R&D. 

En faisant un parallèle avec les huit principes essentiels de la qualité et les concepts 
fondamentaux de l'excellence (EFQM), on s'intéresse ici à « Orientation client », 
« Leadership et constance de la vision », «Approche factuelle pour la prise de décision », 
« Responsabilité sociale et environnementale ». 

Deuxième niveau, le capital humain, c'est-à-dire « avec qui j’y vais ». Il s'agit donc ici de 
bien déterminer les circuits de décision, les responsabilités et autorités, l'évolution des 
compétences, l'accompagnement et autres aides et expertises en place, l'évaluation et 
l'évolution des compétences. 

Plus précisément, on s'intéresse à des caractéristiques du type : 

- adéquation de l'équipe au métier et à la stratégie ; 

- analyse de la volonté sociale par analyse de la rémunération, de la formation, 
de l'embauche sociale, de la participation des salariés, de la conduite du 
changement, du transfert de compétences ; 

- environnement, santé et sécurité des personnes, etc. 

En faisant un parallèle avec les huit principes essentiels de la qualité et les concepts 
fondamentaux de l'excellence (EFQM), on s'intéresse ici à « Développement et 
Implication des Collaborateurs ». 

Troisième niveau, l'organisation et les processus, c'est-à-dire « comment j’y vais » 
(Organisation, processus) ? Il s'agit d'analyser la cartographie des processus pour 
comprendre les principes de diffusion d'information, de boucle d'amélioration, de 
mesure, de prévention, de pilotage. Et d’identifier les processus clés. 

Plus précisément, on s'intéresse à des caractéristiques du type : 

- approche marketing et commerciale, etc. ; 

- certifications, labels, qualifications, agréments, etc. ; 

- indicateurs clés de performance, maîtrise réelle des opérations, etc. 
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En faisant un parallèle avec les huit principes essentiels de la qualité et les concepts 
fondamentaux de l'excellence (EFQM), on s'intéresse ici à « Approche processus », 
« Management par approche système », « Amélioration continue », « Management par 
les processus et les faits », « Apprentissage, innovation, amélioration ». 

Enfin le quatrième et dernier niveau, les technologies, outils et moyens, c'est-à-dire 
« avec quoi j'y vais ». Il s'agit d'analyser les procédures, la recherche & développement, 
les systèmes d’informations et autres moyens financiers et d'infrastructure. 

- moyens financiers par analyse du bilan (ratio de solvabilité, indépendance 
financière, etc.jet du compte de résultat (chiffre d’affaires, valeur ajoutée, 
excédent brut d'exploitation, rendement des capitaux, etc.) ; 

- comparaisons annuelles par rapport au marché ; 

- technologies de valeur et pérennes ; 

- externalisation, sous-traitance, etc. 

En faisant un parallèle avec les huit principes essentiels de la qualité et les concepts 
fondamentaux de l'excellence (EFQM), on s'intéresse ici à « Relations bénéfiques avec 
les fournisseurs », « Orientation résultats », « Développement des partenariats ». 



Un deuxième moyen pourêtre méthodique est d’accorder le plus grand 
soin à la planification de l’audit, en tenant compte de toutes les don- 
nées disponibles ou collectées et ainsi mobiliser les bons acteurs, aux bons 
endroits, sur les bons sujets, au bon moment (cf. §5.1 p. 117). Cette planifi- 
cation est importante. Elle consiste à mobiliser des auditeurs intervenant sur 
site pour tout ou partie des thèmes, appuyés par des experts consultables 
ponctuellement à distance sur une thématique précise donnée. Et ceci tout 
en recherchant la complémentarité d’un site à l’autre ainsi que la plus grande 
proximité géographique de l’auditeur pour chaque site. Il n’est donc pas 
superflu de consacrer du temps à cette planification pour faire la répartition 
la plus judicieuse possible. C’est autant de temps et de pertinence gagnés 
lors de l’audit sur site. 

Enfin, un troisième moyen utile est l’intégration. L’audit intégré consiste à 
prendre en compte au travers d’un même audit plusieurs objectifs (financier, 
technique, outil, stratégique, qualification fournisseur, etc.). 

El Exemp le 

Par exemple, une société souhaite faire un audit de son prestataire d’infogérance. 
Elle aimerait en profiter pour vérifier la prise en compte des observations faites lors 
du précédent audit informatique des commissaires aux comptes, de faire le point 
sur le plan d’actions de levée des dernières réclamations émises et enfin de vérifier 
la conformité du système de management en place à ISO 20000-1:2005. 

1 
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Une autre forme d’intégration consiste à tenir compte de plusieurs référentiels 
(par exemple ISO 9001:2008, ISO 10006:2003 et PMBoK® pour un audit 
de la qualité des projets). L’intégration permet ainsi de ne pas juxtaposer 
des séries d’audits, chacune centrée sur une thématique donnée. Mais au 
contraire, avec beaucoup de méthode, d’intégrer les différents objectifs et 
référentiels pour éviter la redondance des thèmes à auditer, optimiser les 
durées et acquérir une meilleure cohérence d’ensemble. 



■■ L’audit à valeur ajoutée « indépendant », 
comment ? 



La définition de l’audit telle que vue précédemment insiste sur cette notion 
d’indépendance. Indépendant signifie non seulement qui ne dépend pas de 
telle entité (personne, organisation, etc.) et qui ne lui est pas subordonné. 
Cela signifie aussi « qui n’a pas de relation avec cette entité ». C’est-à-dire qui 
n’a pas de relation de type influence politique, institutionnelle ou associative, 
ni de relation client-fournisseur, pas même d’intérêt commercial. Et ce, que 
cette relation soit directe ou indirecte. 

Par exemple, une relation indirecte pourrait être caractérisée par une relation 
d’appartenance de l’auditeur à une association professionnelle dont il ferait la 
promotion durant l’audit, par parrainage à l’adhésion, ou encore par incitation à 
solliciter des membres de cette association pour apporter des services ou produits 
à l’audité en lien avec les conclusions de l’audit. 



Comment donc tout faire pour que cette indépendance, gage de pertinence 
et de valeur ajoutée, soit assurée ? Plusieurs moyens sont possibles : par 
exemple, la définition de la mission d’audit, la sélection des auditeursou l’impli- 
cation de tiers de confiance. Parcourons ensemble ces différents exemples. 

Tout d’abord, l’indépendance est assurée par une définition exhaustive 
et pertinente de la mission d’audit. Plus la mission est définie de façon 
exhaustive et plus il est facile à l’auditeur de vérifier son indépendance 
en connaissance de cause et en toute bonne foi. La mission est définie 
par des caractéristiques du type activité, sites, livrables, contraintes, 
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pré-requis, méthode d’audit, code de déontologie applicable, référentiels et 
autre paramètres définis à l’étape d’expression de besoin (cf. § 2.2). 

Plus classiquement, l’indépendance est assurée en mobilisant des interve- 
nants qui ne peuvent être « juges » et « parties », c’est-à-dire qui sont indépen- 
dants tel que défini ci-avant. Il peut arriver que les intervenants ne s’assurent 
pas parfaitement de leur indépendance, notamment parce que la mission 
proposée coïncide avec une passion de l’auditeur pour tel ou tel sujet, parce 
que l’auditeur fait preuve d’aveuglement professionnel pour rendre service ou 
encore pourse positionner. C’est pourquoi certains corps d’auditeurs (comme 
les commissaires aux comptes par exemple) possèdent un « questionnaire 
d’acceptation de la mission » qui leur permet de ne rien oublierde ces dérives 
potentielles et de « signer » en connaissance de cause. 

Dans le même ordre d’idée, l’indépendance doit être assurée par un auto- 
contrôlé de l’auditeur lui-même quant à la séparation de ses intérêts person- 
nels et de ceux de la mission qui lui est confiée. L’auditeur ne réalise pas 
l’audit pour son besoin personnel, sa culture, son business, etc., mais pour 
mener à bien la mission qui lui est confiée. Précisons ce point. L’auditeur 
est avant tout humain, et comme tout humain, il a ses passions, ses centres 
d’intérêts, ses « marottes » (thèmes sur lesquels il porte systématiquement 
une attention plus particulière). Et durant l’audit, il a la possibilité, dans une 
certaine mesure, de laisser libre cours à ses passions (l’audit le conduit sou- 
vent dans des contextes ou des organisations qu’il n’avait pas eu l’occasion 
de voir auparavant. Et qu’il n’aura peut-être plus l’occasion de revoir de sitôt). 
La tentation est donc grande de se laisser entraîner et de dériver sur ses 
centres d’intérêt en oubliant un peu l’objectif de la mission. D’où l’impétueuse 
nécessité de bien s’auto-contrôler pour séparer ses intérêts personnels à 
oublier pendant l’audit, des intérêts de l’audit (objectifs du commanditaire à 
satisfaire, obtention de l’adhésion des audités). 

Enfin, l’indépendance peut être assurée par la mobilisation d’un tiers de 
confiance indépendant des auditeurs et aguerri aux techniques d’audit. Ce 
tiers est le plus souvent un auditeur expérimenté interne ou externe à l’équipe 
d’audit chargé de vérifier la répartition des thèmes entre les membres de 
l’équipe d’audit ou de suivre et coordonner le travail des auditeurs ou encore 
de valider les livrables. 
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■■Le référentiel d’audit* 

Lequel choisir pour quelle mesure ? 

Comme nous l’avons vu, en tant que processus méthodique, indépendant et 
documenté, l’audit s’appuie sur un référentiel (axe « Référentiel - Objectifs » 
de la figure 1.1). Selon l’ISO 19011:2002, ce référentiel d’audit est appelé 
« critères d’audit ». 

Pour chaque audit, un référentiel d’audit est donc défini à l’étape d’« expres- 
sion de besoin » (cf. chapitre 2.2). Selon le type d’audit (audit de processus, 
audit système, etc.), le référentiel d’audit est composé d’un standard dont le 
type dépend du type d’audit (cf. Tableau 1. 1). 

De plus, par essence même, un audit intégré prend en compte plusieurs réfé- 
rentiels. En effet, l’audit intégré considère plusieurs thématiques au travers 
d’un même audit. Chaque thématique étant supportée par son référentiel (par 
exemple, audit système intégré ISO 9001 :2008 et ISO 20000-1 :2005). 

Parmi les différents types d’audit, l’audit de système est le plus global et 
complet. C’est donc ce type d’audit qui est le plus souvent pris en exemple 
dans le présent ouvrage. 

Un référentiel peut être standard (comme une norme parexemple) ou constitué 
sur mesure selon les spécificités du commanditaire (dans le cadre d’un plan 
qualité fournisseur parexemple). Il peut être aussi constitué par expérience. 
Dans ce dernier cas, les pratiques de capitalisation décrites au chapitre 5.2 
sont fort utiles carelles permettentd’enrichirle référentiel en tenant compte des 
retours d’expérience des différents audits. Parexemple pourdes audits d’ac- 
quisition de société, un référentiel d’audit a été capitalisé par l’expérience. 

-►Voir encadré pratico-pratique « Les données clés d’analyse 

POUR DES AUDITS D’ACQUISITION )> p. 47 



Tableau 1 .1 Les différents types de référentiel possibles 



Type d'audit 


Type du référentiel possible 


Audit de système 


- norme ou standard comme ISO 9001 :2008 

- recueil de bonnes pratiques 


Audit de processus ou audit de procédé 


- fiche processus, fiches méthodes, etc. 

- recueil de bonne pratique 


Audit de produit/service 


- spécification technique/de services ? 


Audit de procédure 


- un ou plusieurs modes opératoires, 
instructions ou procédures... 
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Pour compléter, la figure 1.3 schématise le lien entre le référentiel d’audit, 
l’objectif et la nature de l’audit. 



V 



réferentiel d'audit 

(cf. chapitre 1.5) 

Figure 1 .3 Le référentiel, l’objectif et la nature de l’audit 

Enfin, pour illustrer cette notion de référentiel sous toutes ses composantes 
décrites ci-avant, prenons l’exemple du référentiel pour les systèmes 
d’information. Comme nous l’avons vu, le référentiel peut être spécifique 
(sur-mesure) ou générique (s’appuyant sur des normes et standards). 

Analysons tout d’abord ce que pourrait être un référentiel d’audit spécifique, 
de niveau global et permettant d’appréhender le système d’information d’un 
organisme. Un tel référentiel aborderait des thèmes dont les grandes lignes 
seraient les suivantes : 

- architecture physique et fonctionnelle du système d’information : 
serveurs, postes de travail, topologie du réseau, outils et services, sites 
locaux et distants, etc. ; 

- réseau et télécom : type de réseau, installation et maintenance, 
matériel actif, liaisons spécialisées, autocommutateur, type de système, 
ressources accessibles, etc. ; 

- web et internet : types d’abonnement internet, messagerie, sites web, 
intranet, utilisateurs et besoins, restrictions d’accès et contraintes, 
etc. ; 

- matériels : fiche de vie des matériels installés et, pour chaque type de 
matériel, des caractéristiques de type référence, puissance machine, 



Nature de I audit 



un commanditaire 
une équipe d'audit 
des audités 



(en 1 , 2 ou 3 structures 
différents) 

cf. § 2.1.2 



Objectifs 

Vérifier la conformité 
Certifier au sens produit/ service 
Mesurer l'efficacité, la maturité 
Améliorer 

cf. § 1.1 

un 
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mémoire, capacité des disques et taux de remplissage, cartes et 
périphériques, carte réseau, mémoire externe, CD-ROM, unité de 
sauvegarde, périphériques (scanner, imprimante, etc.), carte son, 
onduleur, ressources partagées, etc. ; 

- logiciels par type de matériel : recensement, installation, exploitation 
et administration, caractéristiques de chaque famille (antivirus, 
bureautique, système d’exploitation, navigateur internet, etc.) ; 

- applications logicielles développées ou du commerce ou libre : 
intérêt de l’application, critères de choix, fonctionnalités, maintenance 
corrective et évolutive, contraintes de développement, exploitation et 
maintenance, droits d’accès, interface homme-machine, interopérabilité 
et interfaçage ; 

- sécurité : sécurité physique des matériels (serveurs et postes), sécurité 
des données, sécurité des échanges de données, coupe-feu, accès 
aux ressources partagées, exploitation des traces, gestion des mots de 
passe, sauvegardes, politique de prévention ; 

- organisation et responsabilités : répartition des responsabilités 
entre acteurs, capacité des sous-traitants et partenaires, contrats et 
engagements ; 




Dévelop- 

pement 

CMMi DEV, 



Production 

Itil, ISO 20000, CMMi 
SVC, ... 



Process transverses 

’ RH : people CMM, ISO 17024, ... 
: sécurité : ISO 17799, ISO 27001, 
: santé/sécurité : OHSAS 18001, .. 



ISO 9001, 6-sigma, EFQM, ... 



Management de projet (ISO 10006, PM BoK, 



28 



Figure 1 .4 Exemple de cartographie 
de référentiels d’audits de systèmes d'information 
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- configuration : liste des articles de configuration et liens entre articles ; 

- structure analytique de coût et budgétisation. 

Un référentiel d’audit générique s’appuierait quant à lui sur des normes 
et standards existants au niveau international. Elles s’appliquent à des 
domaines distincts et sur des périmètres divers comme le développement 
logiciel, les services de production informatique, la gestion globale du système 
d’information, la sécurité, etc. La figure 1 .4 donne un exemple de cartographie 
de ces normes utilisables pour auditer les systèmes d’information. Cette 
cartographie recense les normes les plus couramment utilisées. 

Sans faire un inventaire exhaustif et détaillé de ces normes, analysons leurs 
principales caractéristiques. 

L’ISO 9001 a été créée en 1987. C’est une norme de type système (struc- 
turée selon le cycle Plart-Do-Check-Act). Elle définit des règles standards à 
respecter pour tout organisme souhaitant fournir des produits et des services 
de qualité. C’est-à-dire un organisme s’appuyant sur un système de mana- 
gement qualité qui peut répondre aux exigences de ses clients et s’inscrire 
dans une démarche d’amélioration opérationnelle permanente. Jugée trop 
généraliste, elle est souvent délaissée. À tort. Car elle donne le cadre système 
idéal (les bases). Comme la farine dans un gâteau, l’ISO 9001 peut constituer 
une bonne base de travail. De même que pour beaucoup de gâteaux, ce 
sont les autres ingrédients qui caractérisent chaque gâteau, pour l’audit, les 
autres normes caractériseront l’audit autour d’une base ISO 9001 . 

L’ISO 20000-1:2005 est aussi une norme de type système. Elle définit des 
règles standards à respecter pour tout organisme fournissant des services 
et souhaitant atteindre un excellent niveau de maîtrise de ses activités en 
vue de satisfaire ses clients. Contrairement à l’ISO 9001 qui est générique, 
l’ISO 20000-1 est typée « gestion de services informatiques ». 

L’ISO 27001 :2007 est également une norme de type système. Elle définit des 
règles standards en matière de sécurité des systèmes d’information (confi- 
dentialité, intégrité, disponibilité) à respecter pour tout organisme souhaitant 
en garantir la maîtrise dans la réalisation de ses activités en réponse à ses 
propres exigences internes ou à celles de ses clients. Elle est, elle, typée 
« sécurité des systèmes d’information ». 

Cobit version 4.1 , Control objectives for information and related tech- 
nologies a été développé en 1996. Elle permet de maîtriser les risques 
attachés aux systèmes d’information et de contrôler les investissements. 
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Elle est utile tant pour les décideurs que pour les utilisateurs ou encore 
les vérificateurs. Initialement positionnée sur le contrôle des objectifs des 
systèmes d’information, elle est aujourd’hui centrée sur la gouvernance des 
systèmes d’information. Elle permet une évaluation de zéro à cinq, méthode 
notamment utilisée pour évaluer les risques Sarbanes-Oxley. 

CMMI, Capability Maturity Model Integrated, est un ensemble de bonnes 
pratiques permettant d’évaluer le degré de maturité d’un organisme ou d’un 
service notamment pour les processus d’ingénierie (CMMI for Development, 
pour les projets de développement, de maintenance, etc.). Elle est fondée 
sur les bonnes pratiques de la profession et fournit un cadre d’amélioration 
des processus. On pourrait simplifier en disant que CMMI couvre une grande 
partie des exigences de l’ISO 9001 :2008, même si certaines exigences de la 
norme se retrouvent plus spécifiquement au niveau trois du modèle CMMI. 

ITIL v3, Information Technology Infrastructure Library, est un recueil de 
bonnes pratiques de la Gestion des services informatiques ayant fait ses 
débuts dans les années 1980. Traduit dans 10 langues et utilisé dans plus de 
50 pays, ITIL présente le gros avantage d’avoir défini un vocabulaire commun. 
Comme dans l’ISO 9001:2008 et l’ISO 20000-1:2005, les processus sont 
au cœur de ITIL. Avec l’avantage de pouvoir rentrer plus dans le détail des 
processus de gestion de services. 

Six Sigma est née il y a quelques années déjà au sein des usines Motorola. 
Reprise par d’autres grands groupes, elle est devenue au fil des ans une 
discipline d’analyse basée sur des faits vérifiables statistiquement pour amé- 
liorer la qualité et l’efficacité les processus clés de l’organisme (processus 
d’amélioration orienté client). D’abord appliquée à des procédés industriels, 
la méthode a été élargie à tous types de processus. 

Notons que les référentiels de management de projet IS0 1 0006 et PMBoK® 
sont abordés au chapitre 6, paragraphe 6.3. 
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« Rien ne sert de courir ; il faut partir à point. » 
La Fontaine, Le Lièvre et la Tortue 



L’audit comme outil de mesure, méthodique, indépendant s’appuyant sur un 
référentiel d’audit, mobilise différents types d’acteur (parties prenantes) tout 
au long des différentes étapes de l’audit. 

Chaque partie prenante a un rôle déterminé et pour que l’audit soit à valeur 
ajoutée, ce rôle doit être clairement défini et compris par chacune des parties 
prenantes. 

Les étapes de l’audit permettent quant à elles de tracer la feuille de route 
de l’audit. Durant l’audit, il faut être rapide. Tout va très vite. Il est pourtant 
vital de ne pas confondre vitesse et précipitation. L’ordre des actions est 
important. Un oubli, et c’est trop tard. L’audit permet rarement de revenir en 
arrière. D’où l’importance de comprendre l’intérêt et les activités de chacune 
des étapes. 



■■ Les parties prenantes de l’audit 

Comme nous l’avons vu au chapitre I, pour être méthodique et indépendant, 
l’audit à valeur ajouté met souvent en jeu différentes parties prenantes. La 
qualité de l’audit est donc intimement liée à la performance de ces parties 
prenantes. Quelles sont elles ? Quels sont leurs rôles ? Et comment, selon 
le rôle de ces parties prenantes, détermine-t-on la nature de l’audit ? 



□ Le rôle de chaque partie prenante 

L’audit met en œuvre différentes parties prenantes, à savoir, le commanditaire 
de l’audit, l’audité, l’équipe d’audit et les éventuels observateurs. Et chaque 
partie prenante a un rôle bien déterminé. 
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• Présentation de chaque partie prenante 

Le commanditaire de l’audit décide de l’audit, de son objectif, du contexte. 
C’est lui qui sait pourquoi l’audit doit être fait. Et quel résultat il en attend. 
L’audité ou le responsable d’audit sont parfois tenus de faire clarifier l’objectif 
et le résultat. Il faut que ce soit parfaitement clair et limpide. C’est ce qui 
conditionnera le bon déroulement de l’audit. Le commanditaire de l’audit peut 
être, selon les cas, par exemple la direction d’un organisme, ou un client, ou 
encore un organisme officiel de certification. 

L’audité désigne l’entité auditée (organisme, service, direction, site, etc.) ou 
une personne auditée en particulier, « les audités » désignant le personnel 
de l’entité auditée (cf. ci-après). Il « subit » l’audit. Subir n’est pas le mot juste 
(mêmesion l’entend couramment) carentantqu’outildeprogrèsapporteurde 
valeur ajoutée, l’audit apporte à l’audité de nombreux bénéfices. Disons que 
le mot « subit » est pertinent ici dans le sens où il caractérise le côté passif de 
l’audité dans la définition des objectifs et résultats de l’audit. L’audité est incarné 
par deux types d’acteurs : la direction de l’audité et les audités eux-mêmes. 

La direction de l’audité représente le management de l’entité auditée. Elle 
s’approprie l’audit, et contribue à son organisation, notamment au niveau de 
la communication concernant l’audit au sein de son entité et en facilitant les 
relations entre les auditeurs et les audités. 

Les audités sont les personnes de l’organisme audité qui vont apporter les 
éléments de réponse aux auditeurs. Les audités sont le plus souvent une 
population très hétérogène en terme de responsabilités, de sensibilité à 
l’audit, de connaissance des normes, etc. Peu importe pour l’auditeur. Dans 
tous les cas, ce sont des professionnels, compétents par rapport au thème 
sur lequel ils sont audités. 

L’équipe d’audit est chargée de faire la mesure en phase avec l’objectif et 
le résultat d’audit fixé par le commanditaire. Elle est composée de trois types 
d’acteurs : l’auditeur, le responsable d’audit et l’expert. 

L’auditeur est chargé de mesurer sur site, les thèmes planifiés aux endroits 
prévus, avec les audités qui ont été identifiés. Et ainsi de collecter les obser- 
vations permettant de fournir les conclusions par rapport aux objectifs de 
l’audit. Selon l’importance de l’audit, l’équipe d’audit peut être composée 
d’un ou plusieurs auditeurs. Si l’équipe d’audit est composée de plusieurs 
auditeurs, chacun a un rôle déterminé d’un commun accord, dans un souci 
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premier d’efficience (maîtrise des thèmes de l’audit, proximité géographique, 
disponibilité, niveau d’expérience requis, etc,). 

Le responsable d’audit est garant du résultat de l’audit. Résultat maté- 
rialisé par un rapport d’audit permettant au commanditaire de prendre la 
bonne décision ou de déclencher les actions pertinentes par rapport au 
contexte dans lequel l’audit a été déclenché. Le responsable d’audit est 
en plus responsable du management de l’équipe d’audit, responsabilité à 
prendre au sens de « coordination des acteurs » et de « garant du bon 
fonctionnement » (le bon auditeur au bon endroit pour le bon thème). Et 
sûrement pas au sens strictement hiérarchique. En plus de cette fonction de 
coordination, le responsable d’audit peut aussi, et c’est très souvent le cas, 
auditer certains thèmes prévus et assumer ainsi aussi la fonction d’auditeur 
telle que décrite ci-avant. 

L’expert technique est mobilisé par le responsable d’audit, à distance ou 
sur site, ponctuellement et sous son contrôle, pour analyser un ou plusieurs 
points spécifiques. Plusieurs experts peuvent être mobilisés lors d’un même 
audit pour apporter chacun un avis sur un sujet donné. Selon l’enjeu et 
l’intérêt, plusieurs experts peuvent être mobilisés sur un même sujet pour 
croiser les avis. 

L’observateur peut être mobilisé par le commanditaire ou par l’audité selon 
des raisons qui leursont propres. Plusieurs observateurs peuvent être mobi- 
lisés pour un même audit. Le consentement du responsable d’audit est 
demandé pour s’assurer que cette mobilisation ne perturbe pas le dérou- 
lement de l’audit. Dans tous les cas, l’observateur n’interfère pas dans le 
déroulement de l’audit. 

• Rôle de chaque partie prenante 

Les présentations étant faites, parcourons à présent et dans les grandes 
lignes, le rôle de chacun. 

Le commanditaire de l’audit prend la décision d’auditer et choisit l’équipe 
d’audit qui va se charger de réaliser la mission. Il définit l’objectif et le champ 
de l’audit. Ainsi que les décisions de suite d’audit. Il informe la direction de 
l’audité. 

Les audités répondent aux questions de l’auditeur. Et fournissent les preuves 
et la documentation demandée. Ils coopèrent avec les auditeurs durant l’audit. 
Après l’audit, ils mettent en œuvre les actions correctives. 
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La direction de l’audité informe quant à elle le personnel du but de l’audit. 
Elle désigne le ou les responsables pour accompagner les auditeurs dans la 
préparation et le déroulement de l’audit. Elle coopère avec les auditeurs selon 
leurs besoins. Après l’audit, elle définit et déclenche les actions correctives 
en rapport avec les conclusions finales. 

L’équipe d’audit est composée du responsable d’audit et éventuellement 
d’un ou plusieurs auditeurs, un ou plusieurs experts et un ou plusieurs 
observateurs. 

L’auditeur prépare l’audit en respectant le plan d’audit. Il rassemble et 
analyse les preuves. Il consigne les observations et rapporte les conclusions. Il 
établit la partie du rapport d’audit le concernant, rapport étayé de preuves. 

Il en est de même pour l’expert technique. 

Le responsable d’audit réalise le plan en concertation avec l’équipe d’audit. 
Il consolide et finalise le rapport. Il gère la relation avec le commanditaire et 
la direction de l’audité et est notamment chargé de résoudre les éventuels 
problèmes et difficultés rencontrés. 

L’observateur a un rôle passif sans intérêt pour l’audit. Son implication est 
plutôt orientée vers le processus d’audit lui-même (évaluation d’un auditeur 
ou du processus d’audit, renforcement de l’expérience d’audit de l’obser- 
vateur, etc.). Il peut faire partie des équipes de l’audité, d’une organisation 
dépendante de l’audité (groupe, siège, filiale, consultant) ou mandaté par le 
commanditaire (futur auditeur, expert, membre de l’encadrement). 



□ La nature des audits (interne, seconde, tierce partie) 

Comme nous venons de le voir, l’audit mobilise diverses parties prenantes. 
Ces parties prenantes constituent trois groupes : le commanditaire de l’audit, 
l’audité et l’équipe d’audit. 

Ces trois groupes peuvent représenter une, deux ou trois structures juridiques 
différentes. C’est ce qui permet de déterminer la nature de l’audit. Il y a trois 
natures d’audit : l’audit première partie plus couramment appelé audit interne, 
l’audit seconde partie et l’audit tierce partie. 

L’audit interne concerne une seule structure juridique. Le commanditaire de 
l’audit, l’équipe d’audit et l’audité appartiennent à la même structure. Même si 
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par exemple le commanditaire est la direction, l’auditeur issu du département 
qualité et l’audité une entité opérationnelle (service juridique, département 
production, direction des études, etc.), les trois appartiennent à la même 
structure juridique. La notion d’audit interne inclut également l’audit interne 
indépendant, c’est-à-dire l’audit réalisé par un tiers indépendant (consultant 
indépendant de l’organisme). Bien qu’indépendant, l’auditeur est choisi par 
la structure juridique à la fois commanditaire et audité. C’est pourquoi ce 
type d’audit entre dans la catégorie des audits internes. 

L’audit seconde partie concerne deux structures différentes. Le comman- 
ditaire de l’audit et l’équipe d’audit appartiennent à la même structure (cas 
le plus courant). L’audité appartient lui à une structure différente. C’est par 
exemple, l’audit réalisé par un client pour auditer ses fournisseurs ou sous- 
traitants (cf. § 6.4 «L ’ audit de fournisseurs et sous-traitant »p. 152). Ou bien 
l’audit commandité par le siège pour auditer des filiales. Comme pour l’audit 
interne, l’équipe d’audit peut être indépendante du commanditaire. 

Pour l’audit tierce partie, les trois structures sont différentes c’est-à-dire que 
le commanditaire de l’audit (généralement l’organisme certificateur), l’équipe 
d’audit et l’audité appartiennent à 3 structures différentes. 

En complément de ces relations propres à l’audit, viennent se greffer deux 
relations contractuelles de type client-fournisseur. 

-» Voir encadré pratico-pratique « Les relations contractuelles et l’audit tierce partie » 



Pratico-pratique 

Les relations contractuelles et l’audit tierce partie 



Nous avons vu qu'en complément de la relation d'audit mobilisant un commanditaire, 
une équipe d'audit et un audité, viennent se greffer deux relations contractuelles de 
type client-fournisseur : la relation contractuelle entre l'audité et le commanditaire et la 
relation contractuelle entre le commanditaire et l'équipe d'audit. 

Prenons un exemple pour illustrer ce point avec le cas le plus complexe, l'audit tierce 
partie de la société S par l'auditeur A mandaté par AFNOR Certification. Par quoi cela se 
traduit par rapport aux trois relations : la relation d'audit, la relation contractuelle entre la 
société S et AFNOR Certification et la relation contractuelle entre AFNOR Certification 
et l’auditeur A. 

Concernant la relation contractuelle entre AFNOR Certification et l'auditeur A, AFNOR 
Certification contractualise annuellement (contrat cadre) avec des auditeurs certifiés 
(indépendants ou appartenant à une structure de conseil notamment). Contrat qui est 
systématiquement complété d'un ordre de mission pour la réalisation d’un audit défini 
précisément. Dans cette relation, AFNOR Certification est le « client » et l’auditeur A est 
le « fournisseur ». 
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Concernant la relation contractuelle entre la société S et AFNOR Certification, la 
société S souhaitant se faire certifier, elle consulte les organismes de certification et 
retient AFNOR Certification. Dans cette relation, la société S est le « client » et AFNOR 
Certification est le « fournisseur ». 

Concernant la relation d’audit proprement dite, c'est AFNOR Certification qui est le 
« commanditaire de l'audit ». Elle mandate l'auditeur A pour réaliser l'audit de certification 
de la société S (ordre de mission). Cet auditeur A sera « l'équipe d'audit », la société S 
étant quant à elle « l'audité ». 

C’est pour éviter toute ambiguïté que dans la relation d'audit, nous parlons de 
« commanditaire de l'audit » (conformément à ISO 19011:2002) et pas de « client 
d'audit » comme c’est souvent l'usage. 

Une première relation contractuelle existe, pour les audits tierce partie, 
entre l’audité qui souhaite se faire certifier et le commanditaire (l’organisme 
de certification). Dans cette relation, l’audité est le client et l’organisme de 
certification est le fournisseur. 

Et pour tous les audits faisant appel à des auditeurs indépendants, une 
deuxième relation contractuelle est définie entre le commanditaire et l’audi- 
teur. Le commanditaire est le client alors que l’auditeur est le fournisseur. 
Ce type de relation existe dans les cas suivants : 

- audits internes indépendants ; 

- audits seconde partie où l’auditeur est externe au commanditaire ; 

- audits tierce partie. 




Relation d'audit Relation contractuelle 

Figure 2.1 Relations d’audit et relations contractuelles de l’audit tierce partie 
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Les étapes de l’audit 

Pour que les parties prenantes puissent intervenir au bon endroit au 
bon moment, le processus d’audit se compose de différentes étapes 
séquentielles. Ces étapes sont normalisées. 

-♦Voir encadré pratico-pratique « Les activités de l’audit selon l’ISO 19011 :2002 » 

Cette séquence constitue une base de travail habituelle et immuable que 
nous avons enrichie ici de retours d’expérience pour que l’audit apporte 
encore plus de valeur ajoutée. 2 



Pratico-pratique 

Les activités de l’audit selon l’ISO 19011:2002 



Rappelons que l'ISO 19011:2002 définit les lignes directrices pour l’audit des systèmes 
de management (cf. chapitre 1). Et plus précisément pour la partie qui nous concerne ici, 
donne des conseils sur les activités de l’audit, à savoir : 

- Principes pour audit (indépendance, fondé sur la preuve). 

- Activités d’audit (ajuster selon champ, complexité, etc.). 

- Déclenchement de l'audit. 

- Réalisation de la revue des documents. 

- Préparation des activités d'audit sur site. 

- Réalisation des activités d'audit sur site. 

- Préparation, approbation et diffusion du rapport d'audit. 

- Clôture de l'audit. 

- Suivi d'audit. 

Seuls les titres sont repris ici pour informer de l'existence de ces dispositions. Le détail 
est disponible selon intérêt par simple consultation de la norme. 2 



Chaque activité de chaque étape est importante. Or, dans le feu de l’action, 
ou après avoir gagné en assurance suite à la réalisation de nombreux audits, 
chaque auditeur peut avoir tendance à adapter plus ou moins ces étapes et 
ces activités en fonction de sa sensibilité et de son expérience. Une chose 
est néanmoins vitale : ne rien oublier et ne pas négliger les incontournables. 
Pour cela, il est utile de se constituer sa propre check-list étape par étape. 

-♦Voir encadré pratico-pratique « La check-list de vérification 
DES ACTIVITÉS D’AUDIT PAR ÉTAPE )) p. 41, 53, 60 et 63 

Chaque étape mobilise les différentes parties prenantes définies au 
paragraphe 2.1, chaque partie prenante ayant un rôle précis à jouer durant 
l’audit. La mobilisation des différents acteurs est définie pour les différentes 



2 www.boutique.afnor.org 
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étapes, au fil des chapitres suivants. La figure 2.2 synthétise les étapes et 
les acteurs impliqués. 



Expression de besoin 




Compréhension de l'audité 



Tm/t*. 




Restitutions 




Audit terrain sur site 

n Q 



■P 




Audit prélable documentaire hors site 

#~[f] 



Responsable 

d'audit 




Équipe 

d'audit 




Commanditaire 
de l'audit 




Direction de l'audité 
ou audités 



Figure 2.2 Les acteurs impliqués sur les différentes étapes de l’audit 



□ L'étape d’expression de besoin de l’audit 

Le commanditaire prend la décision d’auditer et détermine le cadre de l’audit. 
C’est-à-dire qu’il définit l’objectif de l’audit et le champ. Le champ d’audit est, 
selon l’ISO 19011:2002, « l’étendue et les limites d’un audit ». Le champ 
décrit généralement les lieux, les unités organisationnelles, les activités et 
les processus ainsi que la période de temps couverte. Le champ d’audit est 
parfois appelé aussi « périmètre ». Enfin, le commanditaire choisit l’équipe 
d’audit et détermine le référentiel à prendre en considération. 
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Le commanditaire de l’audit doit engager des moyens suffisants pour pouvoir 
atteindre l’objectif de l’audit (composition de l’équipe d’audit, compétences 
et qualification des auditeurs, temps imparti, etc.). 

La nomination de l’équipe d’audit est donc faite parle commanditaire en fonc- 
tion de critères propres à chacun. Il est au minimum nécessaire de s’assurer 
des compétences, qualifications et aptitude des auditeurs mandatés ( voir 
§3.1 « Aptitude de l’auditeur »). Et ce, non seulement pour la durée d’un 
simple audit mais plus généralement pour un cycle de 3 ans. 

Chaque auditeur se doit d’effectuer des vérifications avant d’accepter la 
mission. Il vérifie son indépendance, sa capacité à mener la mission en 
terme de compétences, disponibilité et de moyens matériels et humains. Il 
s’assure, au travers des documents fournis et des premiers échanges, que 
l’audité possède un niveau « suffisant » en regard du cadre de l’audit. 

À ce stade, une étude de faisabilité est effectuée en concertation avec la 
direction de l’audité et l’équipe d’audit. Elle consiste à effectuer une analyse 
de premier niveau pour s’assurer que l’audit est pertinent par rapport au 
champ. Mais également qu’il est réalisable en terme de moyens mis à la 
disposition de l’équipe d’audit. Et que l’audité a bien la capacité de répondre 
aux attentes. 

À la fin de cette étape, le responsable d’audit devient seul maître à bord 
pour conduire l’audit. Il confirme posséder tous les éléments nécessaires 
à la bonne réalisation de l’audit. Autrement dit, il s’engage vis-à-vis du 
commanditaire à pouvoir fournir le résultat attendu. 



Pratico-pratique 

La check-list de vérification de l’étape « expression de besoin » 



Pour ne rien oublier et ne pas négliger les incontournables, voici un exemple de check- 
list utilisée lors de l'étape d’expression du besoin. Elle permet notamment de s'assurer 
que l'audit est bien cadré. 

a) Tous les documents et informations utiles ont été collectés ou demandés pour être 
disponible en phase de préparation). Ce sont a minima : 

- le référentiel d'audit ; 

- la méthode d'audit habituellement formalisée par une procédure ou un guide ; 

- le contexte de l'organisme audité (plaquette ou site internet, activités et sites, 
nombre de salariés, etc.). 

b) Le cadre de l'Audit a été défini : 

- la nature de l'audit (interne, seconde partie, tierce partie) ; 

- le type d'audit (de procédure, de système, de processus, etc.) ; 
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- le champ d'audit (notamment périmètre géographique, activité) ; 

- l’interlocuteur des audités (assurant l'interface avec l'équipe d'audit) ; 

- les dates, durée et lieux (sites) des interventions sur site et principaux jalons 
(date de livraison du plan d'audit, date de livraison du rapport d'audit, date de la 
restitution au commanditaire, etc.) ; 

- la langue ; 

- la logistique (horaires début/fin, déplacement, etc.). 

c) L'équipe d'audit a tenu compte du programme prévisionnel d'audits de l'organisme et 
des bilans ainsi que des rapports d'audits précédents. 

d) L'équipe d'audit a compris le besoin du commanditaire (objectif, résultats). 

e) La nature, le type et l'intérêt de l'audit (par rapport au référentiel) sont bien assimilés. 



□ L'étape de compréhension de l’audité 

Après avoir bien compris le cadre de l’audit lors de l’étape d’expression de 
besoin, il est nécessaire de bien comprendre l’organisme audité. Ceci est 
possible par exemple en effectuant une prise de connaissance générale de 
l’audité en se constituant un cadre de référence. 

Comment effectuer cette prise de connaissance ? Quelles informations 
collecter ? Quel angle d’analyse adopter en fonction du contexte ? 

Regardons tout d’abord comment effectuer une prise de connaissance 
générale de l’audité pour se constituer un cadre de référence. 

L’auditeurva devoir collecter, analyser et s’approprier les informations néces- 
saires et suffisantes de l’audité. Ces informations sont nécessaires pour bien 
comprendre l’audité et donc l’audit. Et on ne s’intéresse qu’aux informations 
strictement nécessaires et suffisantes pour ne pas y passer trop de temps. 

L’auditeur organise sa collecte en demandant des informations au 
commanditaire et/ou à l’audité, ou bien en sollicitant son réseau, ou encore en 
recoupant à partir de sources facilement accessibles comme le site internet, 
le rapport annuel ou les plaquettes commerciales. 

Analysons ensuite les données clés de l’organisme qu’il est nécessaire 
de collecter et s’approprier. Il s’agit notamment du profil de l’organisme, de 
ses fonctions et de sa dimension financière : 

- Le profil de l’organisme audité permet de donner les renseignements 
utiles qui dimensionnent l’organisme. Ce profil est caractérisé a minima 
par plusieurs paramètres. La taille et la forme juridique tout d’abord 
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permettent de comprendre les centres de responsabilités et de décisions. 
Cequiestimportantdans la taille, c’estaumoinsd’avoirl’ordredegrandeur 
(moins de dix salariés, moins de cinquante, moins de cinq cents et plus 
de cinq cents). Concernant la forme juridique, il convient de connaître s’il 
s’agit d’une SA, SAS, SARL, etc., et la nature des organes de gestion 
de type Directoire et conseil de surveillance, conseil d’administration, 
etc. Un deuxième paramètre est l’organisation de l’organisme défini par 
la composition en sites et agences, l’organisation en siège et filiales, 
l’établissement principal et les établissements secondaires, la structure 
en directions, services et départements. Un troisième paramètre sera la 
nature des activités. C’est-à-dire la définition des produits ou services 
fournis par l’organisme ou ses activités de négoce. Mais aussi les 
secteurs économiques et les métiers concernés. Un quatrième paramètre 
important est l’environnement légal et réglementaire. Car même si l’audit 
ne se substitue pas à un contrôle de conformité légal ou réglementaire, 
la connaissance des lois, règlements et autres codes applicables à 
l’organisme est déterminante pour déterminer le niveau d’analyse 
pertinent lors de l’audit. Le cinquième et dernier paramètre déterminant à 
prendre en compte est la culture de l’organisme. L’histoire de l’organisme, 
ses valeurs, ses moeurs et son éthique sont autant de caractéristiques qui 
permettent de trouver le juste positionnement de l’audit. 

Les fonctions de l’entreprise représentent une deuxième série de 
donnéesclés.Lesfonctionssonttraditionnellementstructuréesen:fonctionde 
typesupport.fonctiondetypemanagementetenfinfonctionopérationnelles. 
Les fonctions « support » sont par exemple, la fonction « ressources 
humaines, et social », la fonction « achats et approvisionnements », la 
fonction « infrastructures », la fonction « développements technologiques » 
englobant généralement la recherche et développement, les études et les 
systèmes d’information. Les fonctions « management » sont par exemple, 
la fonction « direction », la fonction « communication », la fonction « gestion 
financière », la fonction « juridique » ou la fonction « marketing ». Les 
fonctions opérationnelles sont par exemple, la fonction « commercial », la 
fonction « logistique », la fonction « conception », la fonction « production » 
ou la fonction « services associés ». 

Enfin, la dernière série de données concerne la finance et les comptes de 
l’organisme, données structurées en trois éléments clés que sont le bilan, 
le compte d’exploitation et le compte de cash-flow. Sans entrer dans le 
détail et sans avoir de compétences d’analyse comptable ou financières 
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pointues, voici les grandes lignes de ce à quoi il faut s’intéresser. Le bilan 
est une photo à un moment des « stocks » de l’entreprise. À la fois les 
stocks d’actifs comme les terrains, les machines, les matières premières, 
la trésorerie. Mais aussi les stocks de passif comme les dettes ou les 
fonds propres. Les variations du bilan entre deux dates sont expliquées 
par les deux comptes de « flux » que sont le compte d’exploitation et le 
compte de cash-flow. Le compte d’exploitation représente le total des 
charges et revenus comptables sur la période. Il a pour solde final le 
résultat net part du groupe (RNpg pour les intimes). Le compte de cash- 
flow est le total des entrées et sorties de cash sur la période. Il a pour 
solde final la variation de trésorerie de l’organisme. 

Selon les audits, cette appropriation des données clés est plus ou moins 
importante. Par exemple, elle est vitale pour les audits d’acquisition. 

■+ Voir encadré pratico-pratique « Les données clés d’analyse 

POUR DES AUDITS D’ACQUISITION » p. 47 

Après avoir vu quelles données il fallait collecter et comment, il ne reste 
plus qu’à choisir l’angle d’analyse approprié au contexte. Plusieurs 
angles d’analyse sont possibles. Il est bien sûr possible (et conseiller) 
d’opter pour plusieurs angles d’analyse. En recherchant la meilleure 
efficience possible. 

Quels sont les angles d’analyse possibles ? Plusieurs angles existent. Il ne 
s’agit pas lors d’un audit de choisir tel ou tel angle et de le dérouler tout au 
long de l’audit. Mais plutôt de jongler au fil de l’audit avec ces différents angles 
en fonction du contexte, des observations précédemment identifiées ou de la 
particularité du thème audité. Voici quelques exemples d’angle d’analyse : 

- l’angle « tableaux de bord » permet d’avoir la vision la plus complète et 
pertinente. Il s’intéresse aux objectifs et aux indicateurs d’activité, de 
maturité, de performance, d’efficacité ou d’efficience. Et aux tableaux de 
bord qui en résultent. L’indicateur est une « information choisie, associée 
à un critère, destinée à en observer les évolutions à intervalles définis » 
(selon le fascicule de documentation FD X50-1 71:2000 « Système de 
management de la qualité - Indicateurs et tableaux de bord »). Le tableau 
de bord est à prendre ici au sensdu FD X50-1 71 :2000 (c’est-à-dire « outil de 
pilotage et d’aide à la décision regroupant une sélection d’indicateurs ») ; 

- l’angle « audit » permet d’avoir une vision quant à la boucle d’amél ioration 
et de progrès. On s’intéresse ici tant à la stratégie d’audit, au programme, 
aux rapports et aux bilans d’audit ; 
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- l’angle « mesures » s’intéresse aux activités de l’organisme par le 
prisme des mesures, contrôles et autres vérifications. C’est-à-dire qu’on 
commence par s’assurer de l’exhaustivité et de la couverture du prisme 
de mesure par rapport aux processus de l’entreprise. Puis on s’intéresse 
à la pertinence des mesures (en analysant les résultats obtenus). Et 
enfin l’exploitation de ces mesures qui est faite par l’organisme ; 

- l’angle « responsabilités et autorités » décortique les centres de 
décisions de l’organisme et le rôle de chacun. Non au sens de la liste 
des tâches élémentaires qui sont faites par chacun mais plutôt en terme 
de champ d’action (que me demande-t-on de faire ? qu’ai-je le droit de 
faire ?) ; 

- l’angle « temporel » s’intéresse aux évolutions dans le temps par une 
analyse du passé, du présent et du futur (prévisions). Et la cohérence 
avec la stratégie et le pilotage (les revues d’activités). 

Pour être complet, et aller plus loin dans les données à collecter et les moyens 
de collecte, précisons que les angles d’analyse adoptés s’intéressent aux 
quatre niveaux d’analyse vus précédemment (cf. § 1.3). Rappelons simple- 
ment ici que ces quatre niveaux d’analyse possibles sont la stratégie, le capi- 
tal humain, l’organisation et les processus et enfin les technologies, outils et 
moyens (voir encadré pratico-pratique « Les quatre niveaux d’analyse »). 



Et prenons un exem ple p our illustrer 
1 

Pour comprendre l'audité, nous adopterons l'angle d'analyse « temporel » sur 
le niveau « capital humain » (évolution des effectifs, gestion prévisionnelle des 
emplois et compétences, etc.) et le niveau organisation (évolution du système 
de management, planification, etc.). L'angle d'analyse « tableaux de bord » au 
niveau « stratégie » (reporting financier, bilan d'activité, revue, etc.). Et l'angle 
d'analyse « responsabilités et autorités » au niveau de « l'organisation et des 
processus » (pilote de processus, décideurs, circuits de validation, délégations 
de pouvoir, etc.). 



Nous venons de voir que tout ceci (nature des informations à collecter, angle 
d’analyse, niveau d’analyse) dépend bien souvent du contexte Afin d’être 
plus efficient, l’auditeur peut se constituer une check-list de référence pour 
une collecte optimale indépendante du contexte 

-»Voir encadré pratico-pratique « Le questionnaire universel 

D'ANALYSE PRÉALABLE DE TOUTE ORGANISATION )) p. 46 
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Pratico-pratique 

Le questionnaire « universel » d’analyse préalable 
de toute organisation 



Au-delà des recommandations faites pour une bonne « compréhension de l'audité », il 
peut être intéressant de disposer d’un questionnaire universel indépendant du contexte 
permettant d’appréhender rapidement un organisme à auditer. Voici un exemple de 
rubriques qui pourraient constituer un questionnaire « universel » : 

- Préliminaires sur l’organisme : 

• finalités ? métier ? «clients» (internes ou externes) ? 

• activités, produits et services ? 

• « fournisseurs » et sous-traitants ? 

• relations avec organismes extérieurs (partenaires, institutionnels, etc.)? 

• organisation générale ? 

• démarches, chantiers et projets internes engagés ou en cours ? 

• budgets, coûts et moyens dépensés, engagés à ce jour et prévus ? 

- Positionnement de l’organisme : 

• moteurs, forces, opportunités et atouts de l’organisme ? 

• caractéristiques par rapport à la concurrence ? 

• freins ? faiblesses ? risques ? menaces ? 

• messages que le management fait inlassablement passer ? 

- Tendances et orientations souhaitées : 

• axes de développement et/ou d’évolution ? 

• raisons de l’évolution, de la croissance, etc. ? 

• priorités fixées par le management à court, moyen et long terme ? 

- Image visée et valorisation souhaitée : 

• au niveau des clients ? 

• au niveau du personnel siège ? 

• au niveau du personnel hors siège ? 

- Organisation et maîtrise : 

• processus opérationnels ? de pilotage ? administratifs ? de support et 
soutien ? 

• responsabilités ? circuit de décision ? 

• outils, formulaires, documents types, trames, guides, modèles, logiciels 
existants ? lien avec chacun des processus ? 

• contrôles, mesures, vérifications ? 

• indicateurs, objectifs et tableaux de bord ? 

- Exigences et orientations du management : 

• engagements et objectifs du management ? 

• nature des axes de progrès visés ? 

• niveau de maîtrise souhaité par le management ? 

• maîtrise du traitement des risques ? 

• maîtrise du traitement des problèmes ? et des actions curatives, correctives 
et préventives ? 

• référentiels normatifs ? standards ? normes visées ? 
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Pratico-pratique 

Les données clés d’analyse pour des audits d'acquisition 



Il est nécessaire de collecter et s'approprier, lors de l’étape de compréhension de l'audité, 
les données clés de l'organisme. Ceci est d'autant plus vrai pour les audits de pré- 
acquisition où l'enjeu est de taille de part les montants financiers engagés et les délais 
souvent extrêmement courts pour mener ce type de mission. En effet, cet audit réalisé 
dans la phase de connaissance de la société va contribuer à la décision d'acquérir ou 
pas l'organisme audité. Voici un exemple de rubriques pour ce type d'audit : 

- Synthèse de la société et son contexte : 

• faits marquants depuis la création (d'un point de vue technologique et 
organisationnel) ; 

• partenariats (institutionnels, opérationnels, etc.) ; 

• poids des concurrents par rapport au marché et critères différenciant. 

- Organisation (management, salariés, etc.): 

• actionnariat de la société et répartition du capital ; 

• acteurs clés (dirigeants, managers, experts) : évolution personnelle, esprit 
d'entreprise, visibilité-médailles, personnalité, ancienneté, etc. ; 

• partage des responsabilités et circuit de décisions, etc. ; 

• organisation de la société (département, direction, service, etc.) avec 
répartition et nature des effectifs (cadres, techniciens, intérimaires, etc.) 
et coût de ressources ; 

• investissements (en euros et en pourcentage du chiffre d’affaires) ; 

- Décomposition des secteurs d'activité, compétences techniques et activités : 

• évolutions en terme de secteurs économiques (automobile, etc.); 

• évolutions en terme d'expertises techniques (électronique, etc.) ; 

• évolutions en terme de pays-région ; 

• évolutions en terme d'activités ? ; 

• offre de produits et services (produits catalogue, sur-mesure, services 
associés) ; 

• projets majeurs de la société (et durée associée) en pourcentage du chiffre 
d’affaires et en pourcentage du résultat net ; 

• principaux engagements vis-à-vis des contrats en cours en euros et en 
pourcentage du chiffre d’affaires ; 

• chiffres clés (chiffre d’affaires, résultat net, charges salariales, charges de 
production, etc.) ; 

• répartition du chiffre d'affaire entre les différents clients, métiers, secteurs 
et acteurs clés. 

- Divers : 

• procès et affaires juridiques en cours ; 

• labels, certifications, agréments obtenus. 
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□ L'étape de préparation de l’audit 

À ce stade, le cadre de l’audit est défini et la compréhension de l’audité 
est suffisante pour entamer la préparation de l’audit proprement dite. Cette 
préparation consiste à réaliser une revue préliminaire d’ensemble, à prépa- 
rer le plan d’audit global et enfin à élaborer les documents de travail. Les 
documents de travail sont les outils utilisés par les auditeurs pour réaliser 
un audit efficient et à valeur ajoutée (cf. figure 2.3). Ce sont à minima, un 
support de questionnement, un support de revue préalable et un support de 
prise de note. L’audit est un examen méthodique (cf. chapitre 3), ne l’oublions 
pas. D’où l’importance à accorder à ces documents de travail. 



Étape d'expression de 
besoin de l'audit 



Étape de compréhension 
de l'audité 



Étape de préparation de 
l'audit 



Étape d'audit préalable 
documentaire hors site 



Étape d'audit « terrain » 
sur site 



Étape de restitution 



- check-list d'acceptation de la mission 

- check-list de vérification des activités de l'étape 

- questionnaire universel d'analyse préalable de 
toute organisation 

- questionnaires spécifiques (par exemple, 
données clés d'analyse en audit d'acquisition) 

- support de questionnement 

- support de revue préalable 

- support de prise de note 

- check-list de vérification des activités de l'étape 



- modèle de plan d'audit 



- check-list de vérification des activités de l'étape 



- modèle de rapport d'audit à valeur ajoutée 

- check-list de vérification des activités de l'étape 



Figure 2.3 Les outils de travail de l’auditeur par étape 



La revue préliminaire d’ensemble n’est pas un audit documentaire en pro- 
fondeur, qui sera fait, lui, lors de l’étape de revue documentaire préalable 
(cf. §2.2.4 p. 53). Cette revue préliminaire consiste à analyser les documents 
descriptifs d’ensemble pour confirmer la faisabilité de l’audit. Les documents 
analysés à ce stade sont par exemple les orientations de l’année en cours 
(convention, kick-off, objectifs, plan de progrès, etc.), un récapitulatif des 
dernières évolutions, un manuel de management (ou un plan de gestion) 
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incluant une cartographie des processus, une analyse de risque ou un compte 
rendu de revue (contenant si possible les bilans et analyses préalables à la 
revue). Si la revue réalisée par l’auditeur révèle des manques ou un déca- 
lage par rapport à l’objectif et au champ de l’audit, le commanditaire peut 
décider d’arrêter l’audit. Et de le reprendre lorsque les problèmes soulevés 
seront résolus. 

La préparation du plan d’audit global n’est pas non plus le plan d’audit 
détaillé réalisé également lors de l’étape de revue documentaire préalable 
(cf § 2.2.4 p. 53). Elle consiste tout d’abord à déterminer les thèmes qui 
seront audités hors site, sur site ou à distance. Puis elle permet de déterminer 
les plages de durée par site. Et notamment la répartition de la charge entre la 
revue documentaire préalable hors site (cf. § 2.2.4 p. 53) et l’audit terrain sur 
site (cf. §2.2.5 p. 56). Elle consiste enfin à déterminer les acteurs de l’équipe 
d’audit à affecter à chaque plage. Cette préparation du plan d’audit global 
consiste aussi à coordonner et organiser les travaux confiés aux différents 
membres de l’équipe d’audit. Et à demander tous documents et informations 
utiles à l’étape d’audit préalable documentaire hors site. 

Le support de questionnement est un document de travail indispensable. 
Il peut être spécifique ou générique. Dans tous les cas, le plus consiste à 
améliorer son support de questionnement au fil des audits en y insérant, à 
la fin de chaque audit, les précieux retours d’expérience. S’il est spécifique, 
il convient de préparer son questionnement dans le sens de l’audit, c’est- 
à-dire dans l’ordre du plan d’audit. Ceci permet en effet de maîtriser le fil 
conducteur. S’il est générique, l’idéal est de constituer sa batterie de supports 
de questionnement adaptés aux situations les plus courantes. 

-» Voir encadré pratico-pratique « Le support de questionnement en images » p. 50 

Le support de revue préalable est un document de travail utile qui facilite 
l’entrée en matière lors de l’audit sur site. Il n’est pas indispensable mais utile 
pour gagner du temps et apporter un maximum de valeur ajoutée. 

-» Voir encadré pratico-pratique « Le support de revue préalable en images » p. 51 

Il permet de tracer ce qui a été analysé lors de la revue préalable et donc 
de s’en servir lors des étapes suivantes. Pour bien en comprendre l’intérêt, 
rappelons qu’il peut s’écouler plusieurs semaines (ou mois) entre les 
différentes étapes. 
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Pratico-pratique 

Le support de questionnement en images 


Pour éviter un lourd travail de préparation en construisant un support de questionnement 
spécifique à chaque audit, il est possible de se préparer une bonne fois pour toutes un 
support de questionnement par type ou ensemble de référentiels. Prenons l'exemple 
d'un support de questionnement pour un audit selon le référentiel ISO 9001:2008. Ce 
support a la forme suivante. 


Exigences ISO 9001 :2008 


Repères 


4.2.3. Maîtrise des documents/ Documentation management/ 
Lenkung der Dokumente und Datent Tenuta sotto controllo 
dei document i 

Documents = tous supports d’informations internes ou externes nécessaires au bon 
fonctionnement du SMQ (papier, disque, bande, photo, fichier) [synertal/iacolare] 




Les documents requis pour le SMQ doivent être maîtrisés. Les 
enregistrements sont des documents particuliers qui doivent être 
maîtrisés conformément aux exigences du § 4.2.4. 




Une procédure documentée doit être établie pour : 

a) approuver les documents auant à leur adéauation avant diffusion : 

b) revoir, mettre à iour si nécessaire et approuver de nouveau les 
documents, 

Revoir = vérifier le fond et la forme ; Approuver = autoriser la diffusion rendre applicable 
[fiche pratique afaq n° 2404] ; 

c) assurer aue les modifications et le statut de la version en viaueur des 
documents sont identifiés : 

d) assurer la disponibilité sur les lieux d’utilisation des versions 
pertinentes des documents applicables : 

e) assurer aue les documents restent lisibles et facilement identifiables : 
fl assurer aue les documents d'oriaine extérieure sont identifiés et aue 
leur diffusion est maîtrisée ; 

exigences réglementaires : cf. 7.2.1 c) 


écrit 


À quoi correspondent ces différentes zones de ce support ? 



Les titres sont en plusieurs langues pour faciliter les audits multilangues. Si les audits 
multilangues sont exceptionnels, le corps du support de questionnement reste dans la 
langue maternelle de l'auditeur (pour éviter de passer du temps à préparer et à faire 
évoluer le support dans toutes les langues). 

Les phrases du référentiel sont séparées dans la logique « 1 ligne, 1 exigence » 
ou autrement dit on considère que les phrases regroupées dans la même ligne du 
tableau correspondent une seule et même exigence. Par exemple, les exigences de 
l'ISO 9001 :2008 correspondant au contenu de la procédure documentée sont regroupées 
dans la même ligne du tableau. 
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Les mots clés essentiels sont mis en valeurs en gras, les mots-clés secondaires en 
souligné. 

Le support de questionnement intègre, au-delà des exigences, les retours d'expérience 
des auditeurs ayant déjà utilisé la matrice. Et ce afin d'aider chaque auditeur à bénéficier 
de l'expérience des autres. Ces retours d'expérience apparaissent en caractères 8 
italiques. La source est précisée entre [crochets], 

La colonne « repère » permet de pointer les exigences transverses du référentiel et 
ainsi de les retrouver plus rapidement. Voici quelques exemples de repère : 

- le repère « SMQ » signifie que l’exigence concerne le système de management 
de la qualité en général ; 

- le repère « comm » pointe toutes les exigences qui nécessitent une communication ; 

- le repère « écrit » recense les exigences exigeant un écrit ; 

- le repère « PDCA » concerne l'efficacité du système et l'amélioration continue ; 

- le repère « = planif » pointe les exigences dont le résultat doit être conforme aux 
dispositions planifiées. 



Pratico-pratique 

Le support de revue préalable en images 


Afin de profiter lors de l’audit sur site des informations analysées lors de la revue 
préalable, le support de questionnement peut être utilement complété pour tracer ces 
informations. Il est préconisé dans cet exemple de le structurer comme le référentiel 
d’audit (support de revue préalable en regard de chaque exigence du référentiel). 


Exigences ISO 9001 :2008 


Revue docum. : Réf. 
doc + [précisions] 


Synthèse 






a) 


Une procédure documentée doit être établie 
pour : 

a) .... 


b) 


c) 



À quoi correspondent les différentes zones de ce support ? 

La colonne « revue documentaire » permet de noter la référence des documents 
analysés (procédures, enregistrements, etc.) éventuellement complétée d'une synthèse 
des principales caractéristiques. Il s'agit simplement de noter ici des repères, pointeurs et 
mots clés. Pour certaines exigences, on résume les dispositions mises en place utiles à 
la compréhension. Comme par exemple, la nature de la sous-traitance, la fréquence des 
revues de direction, le type de conception, une exclusion, la nature des infrastructures. 
La colonne « synthèse » permet de pointer les informations déjà exploitées, c'est-à- 
dire consolidées et restituées dans le compte rendu d’audit préalable hors site. 
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Le support de prise de note est, quant à lui, un document de travail indispen- 
sable dans la mesure où la prise de note est fondamentale lors de l’audit. 
Néanmoins, il peut se limiter à sa plus simple expression, la page blanche. 
La prise de note est manuscrite et, plus exceptionnellement, électronique. La 
prise de note électronique introduit des contraintes supplémentaires comme 
l’encombrement, la nécessité de disposer d’alimentations de secours, la perte 
de contact visuel avec les audités. Mais une fois de plus, et dans tous les 
cas, pour gagner du temps lors de la restitution et également lors des audits 
suivants, et pour apporter un maximum de valeur ajoutée, il est nécessaire 
d’y consacrer un peu plus d’attention. 

-►Voir encadré pratico-pratique 
« Le support de prise de notes en images » 



Pratico-pratique 

Le support de prise de notes en images 



Qu'elle soit faite au fil de l'eau ou par thème du référentiel, manuelle ou électronique, la 
prise de note doit être organisée. Voici un exemple de support. 



Prise de note 
d'exécution d'audit 


Synthèse 


À vérifier, Warning, Ne pas 
oublier... pendant l'audit 









À quoi correspondent les différentes zones de ce support ? 

La colonne « prise de note » permet de prendre les notes. 

La colonne « à vérifier, etc. » est une colonne-balise permettant de repérer 
rapidement les éléments essentiels de la prise de note pour faciliter la consolidation, 
la restitution, etc. Comme par exemple, les observations élémentaires, les analyses 
complémentaires à prévoir, les compléments à demander, les points à vérifier. Les 
indications doivent être visuelles par l'utilisation de signes plus que de phrases. Elle 
peut être située à droite, comme c’est le cas ici, ou à gauche de la colonne « prise 
de note ». 

La colonne « synthèse » permet simplement de pointer les informations déjà 
exploitées, c'est-à-dire consolidées et déjà prises en compte dans le rapport d'audit 
ou la restitution. 

Le modèle ci-avant peut être utilisé pour prendre les notes, soit au fil de l'eau, soit 
en regard du support de questionnement. Lors d'une prise de note en regard du 
support de questionnement, la page ci-avant peut être reproduite (manuellement ou 
photocopie) au verso de chaque page du référentiel. 

Dans le cas de prise de note électronique, l'équivalent de la colonne « à vérifier, 
etc. » peut être obtenu en utilisant des codes couleur (texte de couleur ou fonction 
surlignage). 
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Pratico-pratique 

La check-list de vérification de l’étape « préparation de l’audit » 



Pour ne rien oublier et ne pas négliger les incontournables, voici un exemple de check- 
list utilisée lors de l'étape de préparation de l'audit. Elle permet notamment de s'assurer 
que l'équipe d'audit et les audités sont prêts pour l'audit. 

a) les méthodes et les procédures utilisées pour effectuer l'audit sont claires et comprises 
par chaque membre de l'équipe d'audit ; 

b) l'applicabilité du référentiel d'audit est faite par rapport au champ et au contexte 
spécifique de l'organisme ; 

c) le champ et l'objectif de l'audit sont intégrés par chaque membre de l'équipe d'audit ; 

d) chaque membre de l'équipe d'audit a récupéré les documents nécessaires à l'audit 
préalable hors site ; 

e) chaque membre de l'équipe d'audit a effectué une revue préliminaire de tous les 
éléments dont il dispose et a pris en compte toutes les exigences du référentiel d'audit ; 
NB : ça ne sert à rien de demander beaucoup de documents et informations et de ne pas 
prendre le temps de les analyser. Une non-analyse est préjudiciable à la crédibilité de 
l'auditeur et au déroulement de l'audit. En effet, l'audité ayant déjà donné une information 
la considère intégrée. Si elle n'est pas exploitée, elle risque d'être redemandée durant 
l'audit. 

f) les documents de travail (a minima, le questionnaire, le support de revue préalable et 
le support de prise de note) sont établis ; 

g) le plan d'audit global est établi, les formalités d'accès et la logistique sont réglées et 
les audités sont prévenus. 



□ L'étape d'audit préalable « documentaire » hors site 

Après les étapes précédentes ayant permis un cadrage et une préparation 
de l’audit, cette étape marque le début de l’audit proprement dit. Un audit 
sur site est coûteux en terme de charge mobilisée par les audités. Tout ce 
qui peut être audité hors site, c’est-à-dire sans la présence des audités, est 
un gain de temps précieux. 

Gain de temps pour les audités bien sûr, mais également pour l’auditeur qui 
peut aller droit au but sur les éléments qui l’intéressent et les particularités. 
Ou, au contraire, passer rapidement sur les éléments connus ou classiques. 
À condition, comme nous l’avons vu précédemment, qu’il trace minutieu- 
sement son analyse tant sur son support de revue que sur le plan d’audit 
global (cf. § 2.2.3 p. 48). 

-►Voir encadré pratico-pratique 
« Le support de revue préalable en images » p. 51 
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C’est pourquoi cette étape consiste à réaliser un audit des documents, à 
élaborer le plan d’audit sur site en complétant le plan d’audit global et à 
rédiger un compte rendu d’audit préalable. 

L’audit documentaire hors site s’intéresse aux documents de définition 
comme aux enregistrements, trace et preuves... transmis par l’audité ou le 
commanditaire. Un document de définition de l’organisme est, par exemple, 
un schéma directeur, un budget, une analyse de risques, une procédure, 
un guide. Un enregistrement peut s’incarner quant à lui, dans un rapport 
d’activité, un bilan, un tableau de bord, un rapport d’audit, un plan d’action, 
une fiche de non-conformité, un compte rendu de réunion. 

Il est fondamental, tant pour le respect de la déontologie de l’auditeur 
(cf. chapitre 3) que pour sa crédibilité, de respecter scrupuleusement la 
confidentialité et le droit à en connaître. Le droit à en connaître consiste à ne 
récupérer ou à ne demander l’accès qu’aux seules informations strictement 
utiles pour le déroulement de la mission, partant du principe que seule une 
information qui a un intérêt pour un tiers nécessite de lui être communiquée. 
Cet intérêt s’entend au sens où ce tiers a besoin de cette information pour 
agir. Une information peut très bien ne pas être confidentielle, mais si sa 
communication à un tiers n’est pas utile, on ne la lui communique pas, même 
s’il a signé un engagement de confidentialité ! 

L’audit documentaire consiste à réaliser un examen des informations trans- 
mises en lien avec l’objectif de l’audit et par rapport au référentiel d’audit. 
L’examen porte notamment sur les informations suivantes (du plus important 
au moins important) : analyse des risques, compte rendu de revue ou d’as- 
semblée générale ou encore rapport annuel, indicateurs et tableaux de bord, 
cartographie des processus, liste des documents applicables, programme 
et rapports d’audits, certifications et qualifications obtenues. 

La préparation de l’audit sur site peut alors débuter. Cette préparation 
consiste essentiellement à élaborer le plan d’audit sur site. Notamment 
grâce aux précieux éléments récupérés lors de l’audit documentaire, le plan 
d’audit global peut être affiné pour donner lieu à ce plan d’audit sur site. Ce 
dernier précise quel sujet doit être audité, où, quand et par quel auditeur. 

-♦Voir encadré pratico-pratique « Le plan d'audit en images » p. 56 

L’élaboration de ce plan d’audit se fait en respectant les étapes suivantes. 
D’abord, collecter les informations structurantes comme les activités, pro- 
duits, services et fonctions par sites. Mais aussi les projets, contrats ou 
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chantiers en cours et les horaires et habitudes en usage. Déterminer ensuite 
les grandes lignes du plan en fonction de la structure du référentiel d’audit, 
du contexte, du type de société et d’activité, de la répartition entre audit en 
salle et audit terrain, de la répartition des activités entre les différents sites, 
chantiers et contrats client, et de l’importance relative des différents proces- 
sus, importance déterminée par l’auditeur suite à l’analyse du compte rendu 
de revue de management (ou revue de direction). Enfin, finaliser le plan 
d’audit dans le sens du flux de la boucle d’amélioration Plart-Do-Check-Act. 
C’est-à-dire que l’audit doit permettre de comprendre les orientations fixées à 
l’organisme (P/an), de voir comment elles ont été déployées (Do), d’analyser 
ensuite les mesures qui ont été faites par l’organisme pour s’assurer que 
le réalisé est conforme au prévu ( Check ) et de reboucler par rapport aux 
orientations initiales en analysant les actions d’amélioration ou de recadrage 
qui ont été déterminées (Act). 

Il est pertinent d’intégrer à la fin du plan d’audit une plage de vérifications 
suivi de la préparation de la réunion de clôture et, pour terminer, de la réunion 
de clôture. Cette plage de vérification permet d’auditer les quelques derniers 
points ou documents jugés comme pertinents lors de l’audit. Le contenu de 
cette plage sera donc déterminé au fur et à mesure du déroulement de l’audit. 
Il est également conseillé d’intégrer au plan d’audit la logistique telle que les 
pauses déjeuner ou les moyens, durée et horaires de déplacement. 

Le plan d’audit est rédigé par l’équipe d’audit sous la responsabilité du res- 
ponsable d’audit. Il est validé par le commanditaire de l’audit, puis transmis 
aux audités pour identification des interlocuteurs (nom et fonction des audités) 
en regard de chaque thème du plan. Le responsable d’audit s’assure alors de 
la pertinence et cohérence des audités proposés par rapport aux thèmes. 

Le compte rendu d’audit préalable hors site permet de tracer les conclu- 
sions de cette étape. Il précise les modalités de réalisation de l’audit sur site 
en confirmant que l’audit est bien réalisable (ou en précisant les éventuelles 
réserves) et en référençant le plan d’audit. Au-delà de ces conclusions, il 
présente les premières observations et les éventuelles interrogations issues 
tant de la revue préalable (étape de préparation) que de l’audit documentaire 
hors site (la présente étape). Il recense enfin les informations et documents 
analysés. 

Ce compte rendu est annexé au rapport d’audit. 
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Pratico-pratique 
Le plan d’audit en images 



Le plan d'audit précise la nature des thèmes audités en regard des exigences du 
référentiel d'audit, l'étendue (durée) et le calendrier (dates et heures) des entretiens 
nécessaires. 

Voici un exemple de présentation. 



Thèmes 

(ref. des chapitres du référentiel 
et du manuel) 


date et sites 
heures 
début-fin 


auditeurs 


audités 

(nom & fonction) 




<date, site> 








de 8.45 
à 9.00 


RA + A 






de 9.00 
à 9.30 


RA 


M. Dupont (DG) 
M. Martin (RQ) 


Responsabilité de la Direction 

- présentation de l'organisme, ses 
activités et produits, sites & examen 
des modifications d'organisation et du 
système de management 

- 5.2 écoute client, la détermination des 
besoins et des attentes du client 

- 5. 1/5.3 engagement, politique et 
objectifs qualité 

- 5.5 organisation de l'organisme, 
responsabilité et autorités, représentant 

- 5.5.3 communication interne 

















À noter que le plan d'audit est modifiable en cours de mission selon circonstances et 
ajustements nécessaires (sans remise en cause de la logique et des thèmes à auditer). 
Les ajustements sont tracés pour pouvoir en tenir compte lors des prochains audits. Et 
pour transférer ce retour d'expérience aux autres auditeurs afin d'enrichir la performance 
de chacun dans l'élaboration d'un plan d'audit pertinent du premier coup. 



□ L'étape d'audit « terrain » sur site 

Après l’audit préalable documentaire hors site, cette étape poursuit et termine 
l’audit proprement dit. Elle permet d’analyser tout ce qui n’a pu être vu hors 
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site ou qui nécessite la présence des audités. Et permet également une 
vérification par échantillonnage et selon les opportunités des documents 
analysés hors site lors de la revue documentaire (cf. § 2.2.4 p. 53). 

• Déroulement de l’audit « terrain » 

Cet audit terrain se déroule toujours selon le processus suivant : une réunion 
d’ouverture, une série d’entretiens (phase d’examen) et une réunion de 
clôture. Étant relativement classique, ce processus n’est pas développé dans 
le présent ouvrage. Seuls les spécificités et retours d’expérience intéressants 
y sont développés. L’ISO 19011:2002 fournit différentes aides pratiques 
pour faciliter le déroulement de cette étape. Seuls les éléments essentiels 
sont repris ici. 

-» Voir encadré pratico-pratique « La check-list de vérification 

DE L’ÉTAPE “AUDIT TERRAIN SUR SITE” » p. 60 

Rappelons que durant cette étape, tous les membres de l’équipe d’audit ont 
le même rôle, y compris le responsable d’audit qui intervient comme auditeur 
(cf. §2.1 p. 33). Il est vrai que s’étant plus impliqué que les autres auditeurs 
dans la préparation, le responsable d’audit prend l'initiative de certaines 
actions telles que précisées ci-après. Sans pour autant prendre le dessus 
sur les autres membres de l’équipe d’audit. 

L’audit fait l’objet d’une réunion d’ouverture, d’une phase d’examen et d’une 
réunion de clôture. L’audit peut amener l’auditeurà intervenirsurdes sites ou 
des entités où les audités n’ont pas participé à la réunion d’ouverture de l’audit. 
Il convient alors de faire une réunion d’ouverture simplifiée, même improvisée 
(non prévue au plan d’audit) avant d’entamer les investigations. 

• La réunion d’ouverture 

La réunion d’ouverture marque le début de l’audit sur site. Elle permet de 
repréciser l’objectif de l’audit, d’effectuer les derniers réglages du plan d’audit 
et de rassurer, impliquer et mobiliser les audités. 

Plus précisément, la réunion d’ouverture peut être l’occasion de présenter 
des membres de l’équipe d’audit, de présenter les objectifs et le champ 
d’audit, de résumer les méthodes et procédures utilisées pour effectuer 
l’audit, de définir les circuits de communication officiels entre auditeurs et 
audités, de confirmer le plan d’audit, de mettre à disposition les moyens 
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complémentaires nécessaires à la réalisation de l’audit ou encore de 
clarifier les points obscurs du plan d’audit. 

Elle est toujours préparée par le responsable d’audit en adaptant au contexte 
les points présentés ci-avant. C’est généralement lui qui l’anime, sans pour 
autant oublier de valoriser et faire intervenir les différents membres de l’équipe 
d’audit présents. Sa durée dépend du nombre de personnes présentes 
(équipe d’audit et audités) et du contexte. En moyenne et pour la plupart 
des audits elle dure entre 30 minutes et une heure. Le plus souvent, elle ne 
nécessite pas de support de présentation particulier. Selon le contexte, et 
notamment lors de la présence de plusieurs dizaines d’audités en réunion 
d’ouverture, un support de présentation est utilisé. 

À titre d’information, l’IS0 1 9011 :2002 fournit une aide pratique à la conduite 
de la réunion d’ouverture. 

• La phase d’examen 

Cette phase consiste à recueillir et vérifier des informations selon diffé- 
rents moyens (investigation) pour formuler des observations. Selon l’ISO 
19011 :2002, les observations sont appelées constats d’audit. Elles corres- 
pondent aux résultats de l’évaluation par rapport au référentiel d’audit des 
preuves d’audit recueillies. 

Pour mener à bien ses investigations, l’auditeur recueille des informations 
(documents, bases de données, propos tenus par l’audité, etc.) étayées de 
preuves. La notion de preuve est fondamentale. Sans preuve, l’information 
n’a pas de valeur pour l’audit. Au sens de l’ISO 19011:2002, la preuve est 
un enregistrement, énoncé de faits ou autre information, qui se rapporte au 
référentiel d’audit et qui est vérifiable. Une fois ces premières informations 
recueillies, l’auditeur les consolide en effectuant des analyses complémen- 
taires. Il effectue des investigations sur le terrain (équipements, locaux, enre- 
gistrements, documents non auditables hors site, etc.). L’auditeur formule 
les observations. Au fur et à mesure, ces observations sont consolidées 
et classées (cf. § 2.3 p. 65) pour aboutir aux conclusions de l’audit. Les 
conclusions d’audit sont identifiées, documentées et prouvées de manière 
précise. 

Pour investiguer, l’auditeur dispose de différents moyens. Il n’a pas de bons 
ou mauvais moyens. L’auditeur doit chercher avant tout l’efficience et jon- 
gler avec les moyens les plus pertinents en fonction de la situation, de la 
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personnalité de l’audité et du sujet. Les moyens dont l’auditeur dispose sont 
par exemple : 

- les entretiens ; 

- l’examen de documents complémentaires non vus hors site car 
volumineux, ou intégrés dans des outils ou dans des bases de données, 
ou confidentiels, ou non identifiés avant ; 

- l’observation des activités en situation réelle ; 

- la vérification des preuves ; 

- l’inspection d’enregistrements ; 

- l’observation physique par exemple de plateformes de production, de 
panneaux d’affichage ou d’espaces de travail. L’auditeur met à profit les 
déplacements, la circulation dans les locaux, les trajets d’un bureau à 
l’autre pour observer ; 

- les demandes d’information complémentaires ; 

- la consultation d’experts techniques (cf. § 5.3 p. 124) ; 

- selon les cas et si les conditions d’audit le permettent, l’interrogation 
de tiers comme les clients utilisateurs, les clients payeurs ou les sous- 
traitants. 

Il convient de terminer chaque entretien et série d’entretiens d’une synthèse 
des observations. Pour permettre éventuellement à l’audité de compléter, 
préciser ou réagir. Et éviter les éventuelles objections et longues discussions 
en réunion de clôture. 

• La réunion de clôture 

Enfin, la réunion de clôture a pour but de présenter les conclusions de l’audit. 
Comme pour la réunion d’ouverture, elle est préparée parle responsable d’audit 
et généralement animée par lui à l’oral ou à l’aide de supports de présentation. 
La direction de l’audité y participe. Elle peut si elle le souhaite faire participer 
d’autres responsables (le cas le plus courant) ou bien même l’ensemble des 
audités, voire l’ensemble des salariés de l’organisme (très rare). 

Cette réunion permet de restituer aux audités les conclusions de l’audit et 
une synthèse des observations. L’équipe d’audit doit s’assurer que la direc- 
tion de l’audité a bien compris les conclusions de l’audit. Et s’assurer de la 
pertinence et adéquation des actions correctives que l’audité a l’intention de 
mettre en oeuvre par rapport aux conclusions. 
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À ce stade, l’audit est terminé. Il n’est donc pas envisageable de rediscuter 
de tel ou tel point ou de ré-auditer tel thème. En revanche, l’audité peut 
avoir un point de vue divergent de celui de l’équipe d’audit. Ces éventuelles 
divergences sont consignées dans les conclusions. 

D’où l’importance du procès-verbal de clôture qui au-delà d’enregistrer les 
présents à la réunion, permet de reprendre les conclusions, y compris les 
éventuelles divergences de l’audité. Selon l’enjeu, les conclusions sont plus 
ou moins développées. A minima, un simple nombre d’observations d’audit 
(non-conformités, écarts, points forts, etc.) peut suffire. Dans d’autres cas, 
une reprise synthétique des conclusions est préférable. 



Pratico-pratique 

La check-list de vérification de l’étape « audit terrain sur site » 



Pour ne rien oublier et ne pas négliger les incontournables, voici un exemple de check-list 
utilisée lors de l'étape d'audit sur site. Contrairement aux autres check-lists présentées 
dans cet ouvrage, celle-ci permet d'évaluer la qualité du travail de l'auditeur. 

a) les questions posées par l'auditeur sont compréhensibles par les audités et 
suffisamment «ouvertes» ; 

b) la réunion d'ouverture se compose d'une présentation des auditeurs, d'une 
présentation des objectifs et du champ de l'audit, du plan et des méthodes utilisées pour 
effectuer l'audit ; 

c) l'auditeur s'est attaché à comprendre les réponses des audités ; 

d) les constatations de l'auditeur sont claires, transmises au fur et à mesure et étayées 
de preuves ; 

e) le planning de réalisation de l'audit a été respecté (délais, plan) ; 

f) la prise de note fait ressortir les constats, les points à vérifier, les écarts... et respecte 
le langage de l'audité ; 

g) la répartition du temps passé par les auditeurs « en salle » et « sur le terrain » est 
satisfaisante ; 

h) la réunion de clôture présente les observations faites par l'auditeur ainsi que ses 
conclusions et recommandations. 



□ L'étape de restitution 

Les conclusions de l’audit ont été présentées en réunion de clôture, mais la 
restitution ne s’arrête pas là. Il s’agit maintenant de lui donner la forme d’un 
livrable, le rapport d’audit. Il s’agit ensuite de faire valider ce rapport. Et 
sur la base de ce rapport, d’aider le commanditaire à prendre sa décision 
par rapport à l’objectif de l’audit. 
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• Objectifs et forme du rapport d’audit 

Le rapport d’audit permet de consigner les conclusions. Sa rédaction est 
soignée. 

-►Voir encadré pratico-pratique 
« La rédaction efficiente du rapport d’audit à valeur ajoutée » p. 62 

Le lecteurdoit pouvoir s’approprier le rapport. Il permet de prendre les bonnes 
décisions. 

Au-delà des conclusions, le rapport contient toutes les informations 
nécessaires permettant de démontrer la pertinence de ces conclusions. 

Par exemple, le rapport d’audit contient : 

- un chapitre présentant les conclusions. À savoir les conclusions par 
rapport à l’objectif de l’audit, une synthèse des observations par 
nature, les précisions sur divergences, exclusions et autres difficultés 
rencontrées lors de l’audit, une synthèse du contexte de l’audit et de 
l’organisme audité ; 

- un chapitre permettant de détailler les observations. Pour en faciliter 
la lecture et selon les exigences de la procédure d’audit, ce détail peut 
être présenté sous forme textuelle ou de fiches ou de tableaux. La 
présentation peut être faite par nature d’observation selon leur classement 
(cf. §2.3p. 65) ou dans l’ordre chronologique des chapitres du référentiel ou 
par processus ou par entité (directions, départements, services, etc.) ; 

- un chapitre d’annexes contenant par exemple le compte rendu d’audit 
préalable hors site (cf. § 2.2.4 p. 53), le plan d’audit complété et mis 
à jour, les conditions d’archivage, d’enregistrement, de diffusion et de 
confidentialité ; 

- éventuellement un chapitre de synthèse des informations et preuves 
collectées par thème. 

Bien que plutôt logique, l’ordre ci-dessus n’est pas imposé. Ce qui compte, 
c’est que le rapport soit tant facile, qu’agréable à lire. Sa présentation doit être 
claire et rationnelle, les conclusions bien mises en évidence. Avec un docu- 
ment principal concis et des détails en deuxième partie, voire en annexe. 

Mais ce qui importe avant tout, c’est que le rapport restitue fidèlement l’esprit 
et le contenu de l’audit. Il doit fournir une appréciation globale et détaillée 
qui permette au commanditaire de décider sans hésitation, ni doute possible 
sur la pertinence de la conclusion. 
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Enfin il est utile de signaler que le rapport d’audit sert d’élément de référence 
entre le commanditaire et l’audité. Et notamment dans la mise en place et le 
suivi des actions correctives ou la réalisation d’audits de suivi. 



Pratico-pratique 

La rédaction efficiente du rapport d’audit à valeur ajoutée 



Comment rédiger le rapport pour qu'il soit lu ? Voici quelques retours d'expérience. Ils 
sont simples et à la portée de chacun. Mais les habitudes ayant la vie dure, leur mise 
en œuvre, surtout les premières fois, n'est pas simple. D’où l'intérêt de faire relire ses 
rapports par un auditeur aguerri. 

Les messages doivent être concrets et imagés. Sans phrases, ni mots inutiles. Avec 
des tournures de phrases positives. Les phrases sont courtes et rythmées et au présent 
(attention au conditionnel qui induit une proposition d'action corrective et non un constat 
d'audit). Le vocabulaire est simple et accessible par un néophyte. 

Il est utile d'avoir en tête que le rapport doit pouvoir être lu et compris sans difficulté 
plusieurs mois après, par un lecteur n'ayant pas participé à l'audit. C’est par exemple 
le cas lorsqu'un auditeur entame un nouveau cycle d'audit et qu'il dispose pour cela du 
rapport d'audit de l'auditeur précédent. Il trouve alors quasi systématiquement que les 
autres auditeurs rédigent mal leurs rapports ! 

La rédaction du rapport par l'auditeur se fait par consolidation, du détail à la conclusion. 
D'abord rédaction (ou compilation) des observations élémentaires. Puis synthèse et 
classement des observations. Et enfin, conclusion avec proposition de décision. 

Cet ordre de rédaction facilite la lecture du rapport par les audités ou les commanditaires, 
qui liront eux le rapport dans l'ordre inverse, c'est-à-dire de la conclusion aux détails. 
Lorsqu'on lit un rapport, on commence d'abord par les conclusions générales. Puis la 
synthèse. Puis la liste des constats. Et enfin le détail des fiches et annexes. 

Voyons maintenant quelques retours d'expérience pour optimiser la rédaction du rapport : 

- disposer d’un modèle efficace, c'est-à-dire un rapport d’audit type intégrant par 
exemple le retour d'expérience des précédents audits, avec une structure type 
et les phrases de transition. Il est pertinent de bien séparer dans ce modèle les 
phrases type qui seront utilisées en l'état (aux adaptations près) des conseils 
de rédaction ; 

- commencer la rédaction du rapport, à partir du modèle, et le plus tôt possible ? 
Pour cela, faire une rédaction brute mais néanmoins structurée, en se concentrant 
sur le fond et les idées force, et sans se soucier de la forme. Cette rédaction 
est progressive, c'est-à-dire complétée et améliorée au fil de l'avancement de 
l'audit. Puis en fin d'audit, reprendre cette trame brute pour consolider le fond et 
travailler la forme. Attention, « rédaction » est à prendre ici au sens de noter les 
éléments de rédaction, parfois sous forme électronique mais le plus souvent de 
manière manuscrite, sur une trame type imprimée préalablement ; 

- consolider et faire valider le rapport en s'appuyant sur la formule « 1+1 =3 », 
symbole de l'intelligence collective et consistant à faire relire les livrables et à 
échanger les points de vue avec d'autres experts de confiance. 
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• Étapes de rédaction du rapport d’audit 

Chaque membre de l’équipe d’audit rédige le rapport intermédiaire corres- 
pondant à sa partie. Le travail du responsable d’audit consiste à superviser 
les travaux faits par les autres membres de l’équipe d’audit, les revoir et les 
consolider dans un rapport global. 

Le responsable d’audit coordonne alors la relecture du rapport tant sur la 
forme que sur le fond. Il s’entretient selon les besoins avec tout ou partie des 
membres de l’équipe d’audit pour confirmer les conclusions. Ces conclusions 
étant importantes, l’équipe d’audit leur accorde une attention particulière en 
prenant à ce moment-là du recul. 



-♦Voir encadré pratico-pratique 
« La check-list de vérificatiion de l’étape “restitution” » 

Le responsable d’audit valide alors le rapport d’audit. 



Pratico-pratique 

La check-list de vérification de l’étape « restitution » 



Pour ne rien oublier et ne pas négliger les incontournables, voici un exemple de check- 
list utilisée lors de l'étape de restitution. 

Elle permet notamment de s'assurer que le rapport est correctement rédigé : 

a) le rapport d’audit fournit une appréciation globale et détaillée ; 

b) le rapport d’audit comporte les détails de l’organisation de l’audit : plan détaillé, identité 
des auditeurs, dates de l’audit, déroulement ; 

c) le rapport d’audit contient les modalités de confidentialité et de diffusion du rapport ; 

d) les observations et conclusions distinguent bien le classement et le classement est 
pertinent ; 

e) les conclusions relevées sont pertinentes et clairement exprimées ; 

f) la présentation générale du rapport est satisfaisante et est adaptée aux besoins des 
audités et du commanditaire ; 

g) le rapport d’audit restitue fidèlement l’esprit et le contenu de l’audit ; 

h) le rapport d’audit fournit des éléments de décision au commanditaire. 

La check-list suivante permet quant à elle de s'assurer que la restitution est apte à fournir 
les résultats attendus : 

a) l’organisation de la restitution (durée, plan, etc.) est appropriée ; 

b) la forme de la restitution (orale, écrite, réunion, etc.) est adaptée au contexte ; 

c) les participants à la restitution (audités, direction de l’audité) sont appropriés ; 

d) la direction de l’audité a bien compris les conclusions de l’audit et le travail à faire 
suite à l’audit. 
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Une fois validé, le rapport peut alors simplement être transmis au 
commanditaire ou bien faire l’objet d’une présentation plus formelle. Seules 
les conclusions de l’audit sont généralement présentées, le détail étant 
développé selon les interrogations. 



□ L'étape de suivi de l’audit 

L’audit n’a d’intérêt que si les conclusions sont suivies d’effet. Logique. Et 
pourtant, il arrive encore trop souvent que le suivi de l’audit ne soit pas assuré. 
Et même si les raisons de ce manque de suivi sont pertinentes, le suivi est 
indispensable. Même s’il se limite à sa plus simple expression. Voyons en 
quoi consiste ce suivi. 

Tout d’abord, il est nécessaire d’établir le plan d’action permettant de répondre 
aux conclusions et observations de l’audit. Ce plan d’action est sous la 
responsabilité de l’audité. Selon les responsabilités confiées à l’équipe 
d’audit, elle peut être amenée à proposer des actions correctives. Sachant 
que dans tous les cas, la décision finale sur le plan d’action retenu incombe 
à la direction de l’audité. 

L’équipe d’audit s’assure de la pertinence et de l’adéquation de ce plan 
d’action. La pertinence signifie « qui se rapporte à la question, qui a rapport » 3 . 
La vérification de la pertinence consiste à s’assurer que le plan d’action est 
bien en rapport avec l’objectif de l’audit, le référentiel et les conclusions. 
L’adéquation signifie « bien adaptée à l’usage, à l’emploi » 4 . La vérification 
de l’adéquation consiste à s’assurer que le plan d’action est en phase avec 
les pratiques de la profession, le contexte de l’organisme et les moyens en 
place. Par exemple, une action peut être tout à fait pertinente pour corriger 
un écart mais pas adéquate cartrop coûteuse, trop ambitieuse ou trop rapide 
par rapport aux ressources en place. 

L’équipe d’audit vérifie également que la mise en œuvre proposée dans le 
plan d’action est acceptable en terme de dates d’échéance, de jalons ou 
de livrables. 

Tout ceci doit permettre à l’équipe d’audit de donner l’assurance que le plan 
d’action produira l’effet escompté aux échéances prévues. Si tel n’est pas 
le cas, le responsable d’audit prend contact avec l’audité et une nouvelle 
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proposition est établie. Ce processus est schématique car dans les faits, dès 
l’annonce des premières observations, un échange s’établit entre l’équipe 
d’audit et les audités permettant de bien comprendre les observations et les 
moyens d’y répondre. Ce qui fait que lors de cette étape, la proposition faite 
est, le plus souvent, pertinente et adéquate. 

Le suivi du plan d’action proprement dit ne fait pas partie de la mission 
d’audit. Il est néanmoins nécessaire de s’assurer de la mise en œuvre et de 
l’efficacité du plan d’action. Ce suivi peut alors être confié, selon les besoins 
du commanditaire ou de l’audité, à un responsable de l’organisme (cas le 
plus courant) ou à l’équipe d’audit ou encore à un tiers indépendant (expert, 
consultant, etc.). 



■■Le classement des observations 
et des conclusions 

Selon la nature de l’audit ou du référentiel, différentes méthodes de 
classement des observations et conclusions d’audit existent. Le classement 
des observations n’est jamais anodin et doit être fait avec la plus grande 
pertinence possible. 

-» Voir encadré pratico-pratique « Le juste classement des observations » p. 69 



□ La méthode courante de classement 

Voici la méthode de classement des observations la plus courante. Seule la 

terminologie change parfois : 

- point fort ou point remarquable allant au-delà des exigences du 
référentiel. C’est un point sur lequel l’organisme dépasse les exigences 
du référentiel de façon prouvée ou point ou sur lequel les dispositions 
de l’organisme sont remarquables, par exemple innovantes, originales 
ou particulièrement performantes ; 

- piste de progrès ou point conforme qui amélioré pourrait permettre 
de devenir remarquable. C’est une voie identifiée sur laquelle 
l’organisme pourra progresser et dépasser ainsi les exigences du 
référentiel. Elle est souvent formulée sous forme de proposition d’action 
(en utilisant le conditionnel) ; 
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- point sensible ou point conforme mais qui peut devenir un écart 
si rien n’est fait. C’est un point sur lequel des observations factuelles 
montrent que l’organisme risque de ne plus atteindre les exigences du 
référentiel à court ou moyen terme. Une action doit donc nécessairement 
être engagée pour écarter ce risque ; 

- écart ou non-satisfaction d’une exigence du référentiel touchant 
l’organisation, l’application, ou la formalisation du système de 
management et entraînant un risque plus ou moins important de 
non-respect d’une exigence spécifiée. Ou encore non-satisfaction 
d’une exigence du référentiel mettant en cause plus ou moins 
fortement l’efficacité ou l’amélioration du système de management (voir 
§ « classement des écarts ») ; 

- recommandationsetconseils.MêmesN’auditeurnedoitpass’immiscer 
dans la gestion de l’organisme (cf. § « L’attitude de l’auditeur » p. 79), 
il serait pour autant, dommage de priver l’audité des idées et retours 
d’expérience de l’auditeur. C’est pourquoi l’auditeur peut émettre des 
recommandations et conseils en les identifiant clairement en tant que 
tels. Ils se traduisent par exemple par les pistes de progrès (cf. ci- 
avant), des propositions d’actions curatives et correctives aux écarts 
identifiés. Et également des observations hors référentiel c’est-à-dire 
ne correspondant pas à une exigence du référentiel retenu pour l’audit 
mais qui, en rapport avec des exigences d’un autre référentiel maîtrisé 
par l’auditeur, peuvent être utiles ou valorisantes pour l’audité. Par 
exemple, lors d’un audit ISO 9001, il peut s’agir de recommandations 
ou observations sur les contraintes environnementales de l’ISO 14001. 
Ou encore lors d’un audit ISO 20000-1, des recommandations sur la 
sécurité de l’information selon l’ISO 27001 . 

□ Les retours d’expérience 

Il est important de signaler deux retours d’expérience. Ce n’est pas le nombre 
d’observations de telle ou telle nature qui importe. Par exemple, un audit 
faisant apparaître aucun écart ne sera pas plus apprécié de l’audité qu’un 
audit avec de nombreux écarts. C’est la qualité, la pertinence, la justesse des 
observations qui importe, pas leur nombre. Le deuxième retour d’expérience 
est que naturellement, un auditeur a davantage tendance à focaliser sur 
les observations de nature « négative » (écart, point sensible) que sur les 
observations de nature « positive » (piste de progrès, point fort). 
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À noter qu’une certaine confusion existe parfois entre « point sensible » et 
« piste de progrès ». Si rien n’est fait, le point sensible peut se transformer 
en écart. Si une action pertinente est menée pour corriger le point sensible, le 
point redevient conforme. Alors que la piste de progrès permet de transformer 
un point conforme en point fort. D’où l’intérêt de repréciser plus globalement 
le lien entre ces différentes notions (cf. figure 2.4). 



piste de 
progrès 



point 
^ fort 



point 

sensible 



conforme 





action 

corrective 



écart 



action 

corrective 



Figure 2.4 Liens entre les différentes natures d’observation 



□ Le classement des écarts 

Les écarts peuvent faire l’objet d’un classement plus précis. Tout d’abord, un 
écart, plus que toute autre nature d’observation, est argumenté (c’est-à-dire 
étayé de preuves tangibles). 

L’écart est exprimé par rapport à un risque. Cette notion est fondamentale. 
Si il n’y a pas de risque, il n’y a pas d’écart. L’auditeur doit toujours être en 
mesure d’exprimer et d’expliquer ce risque. Le risque est généralement 
estimé selon une fréquence d’apparition, et selon une gravité. La gravité 
est la valeur représentant l’impact (ou les conséquences) du non-respect 
d’une exigence du référentiel. 

La rédaction de l’écart doit être auto-suffisante c’est-à-dire qu’il ne doit pas 
être nécessaire de lire d’autres chapitres du rapport pour le comprendre. 
Le style est direct de type sujet, verbe et complément. L’écart doit être 
« compréhensible » six mois plus tard. Au-delà du libellé de l’écart proprement 
dit, la rédaction précise l’exigence du référentiel qui n’est pas respectée 
(numéro de chapitre et extrait de l’exigence) et le risque encouru justifiant 
le classement en écart. 
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Différentes méthodes de classement des écarts peuvent exister. Selon le 
contexte, l’objectif, la nature et le type d’audit, telle ou telle méthode de clas- 
sement est fixée. C’est le commanditaire (généralement via la procédure ou 
méthode d’audit) qui détermine le classement à adopter. Une seule méthode 
est retenue et utilisée pour l’audit (voire le cycle d’audit le cas échéant). Voici 
quelques exemples de méthodes de classement : 

- le classement en non-conformités est binaire (utilisé par exemple par 
les organismes de certification). Deux niveaux de classement sont 
adoptés : majeur et mineur. La non-conformité majeure ou critique 
est la non-satisfaction d’une exigence spécifiée. Alors que la non- 
conformité mineure est la non-satisfaction partielle, sans risque majeur 
d’insatisfaction client ou sur l’efficacité du système de management ; 

- l’indice de conformité permet d’attribuer une note. Cette note, 
correspondant à une moyenne pondérée, est calculée comme suit. 
Chaque exigence du référentiel a un poids relatif à son importance. 
À chaque exigence est attribuée en cours d’audit une note de 0 ; 0,5 
(exigence partiellement satisfaite) ou 1 (exigence satisfaite). La note 
finale correspond à la somme pondérée des notes par exigences, 
divisée par la somme des poids ; 

- le démérite permet d’attribuer une classe A, B, C ou D en fonction d’une 
note. À chaque exigence du référentiel est attribuée durant l’audit un 
démérite allant de 0 (bon) à 3 (mauvais). La somme des démérites 
permet d’attribuer une note (sur 100) et selon la valeur de cette note 
d’appartenir à une classe (A, B, C, D). Cette méthode est par exemple 
utilisée pour classer les fournisseurs entre eux ; 

- le classement par niveau de maturité (par exemple CMMI) permet 
d’attribuer un niveau de maturité. Ce niveau est déterminé comme suit. 
Attribution d’une note de capacité par grande catégorie de processus, 
note allant de 0 à 5 et correspondant respectivement aux niveaux 
« incomplet », « réalisé », « géré », « défini », « maîtrisé », « en 
optimisation ». En fonction des notes obtenues par niveaux de capacité, 
attribution d’un niveau de maturité allant de 1 à 5 correspondant 
respectivement aux niveaux « initial », « reproductible », « défini », 
« maîtrisé » et « optimisé ». 

Nous n’insisterons jamais assez sur le fait qu’il n’est pas indispensable de 
classer les écarts. Il est tout à fait possible de ne pas les classer. C’est-à-dire 
que l’auditeur se contente de lister les écarts sans classement particulier. Ce 
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non-classement est particulièrement adapté notamment pour les auditeurs 
novices (pour ne pas compliquer inutilement) et pour les audits à blanc. 

Ce non-classement présente l’avantage de la simplicité, la notion de risque 
étant souvent très subjective. Cela incite l’audité à travailler sur tous les 
écarts avec la même intensité et la même importance (un écart mineur 
aujourd’hui pouvant conduire à un majeur demain). L’expérience prouvant 
que l’audité porte souvent plus d’attention aux non-conformités majeures 
qu’aux mineures. 



Pratico-pratique 

Le juste classement des observations 



Lors de l'audit, l'auditeur formule des observations, les consolide, élabore des 
conclusions et les classe. Cette approche analytique est de type bottom-up. C'est-à- 
dire que l'auditeur élabore la conclusion (top) à partir des observations élémentaires 
(bottom). 

Mais l'auditeur prend aussi du recul, s'éloigne des observations unitaires et élémentaires 
(bottom) pour se poser la question plus globalement du respect du référentiel (top). 
Autrement dit, et pour schématiser, l'auditeur se pose la question « qu’est ce que ça 
mérite vraiment ? ». Pour ensuite faire le lien entre cet avis global et les observations 
élémentaires. Cette approche plus systémique est de type top-down. 

Le juste classement des observations (en terme de nombre et de nature), est obtenu en 
croisant les deux approches : l'identification analytique des écarts ( bottom-up ) avec la 
vision d'ensemble du système (top-down). En ce qui concerne le nombre d'observations, 
le juste équilibre doit d'abord être trouvé en les observations « positives » (point fort, 
piste de progrès) et les observations plus « négatives » (point sensible, écart). 

Cette recherche permanente du juste équilibre à tous les niveaux permet à la fois : 

- de prendre du recul par rapport à l'audit et de déterminer les justes conclusions à 
formuler dans le rapport : ni trop sévère pour ne pas noyer, ne pas démoraliser. 
Ni pas assez pour ne pas laisser l'audité s'endormir « sur ses lauriers » ou 
passer à côté de points importants ; 

- d'avoir une cohérence entre les observations et la conclusion de l'audit (qui doit 
apporter une réponse à l'objectif de l'audit). 
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« L’avenir appartient à ceux qui se lèvent tôt. On récolte ce qu’on a semé. » 

La Fontaine, La Cigale et la Fourmi 

L’audit est basé sur les rapports humains. L’auditeur a donc un rôle 
prépondérant dans la qualité, la pertinence, la performance de la mesure. 
Quelles doivent être ses compétences et aptitudes ? Quelle attitude adopter 
(pas d’audit sans l’attitude qui va avec) ? Quelle approche utiliser pour être 
pratique et efficient ? 

La complexité croissante de l’environnement et l’évolution rapide des situations 
auxquelles doivent faire face les organisations a modifié radicalement en 
à peine quelques années le métier d’auditeur. D’une logique de contrôle 
de la conformité, l’auditeur doit maintenant s’intéresser à une évaluation 
de la performance. Une adaptation qui nécessite d’apporter plus de valeur 
ajoutée. 

-♦Voir encadré pratico-pratique « Un bon auditeur, c’est quoi 

POUR LE COMMANDITAIRE DE L’AUDIT ? ENQUÊTE )) 



Pratico-pratique 

Un bon auditeur, c’est quoi pour le commanditaire de i’audit ? 
Enquête 



En complément des caractéristiques exprimées tout au long du chapitre 3, découvrons 
ci-après un extrait des attentes des audités sur les postures qui caractérisent un bon 
auditeur, caractéristiques qui, d'après les audités, font aujourd’hui la différence. 

Ces attentes s'appuient sur nos propres retours d’expérience et sont confortées par les 
résultats de l’enquête « Être auditeur - Retour sur l’enquête 2008 réalisée auprès de nos 
clients », AFNOR Certification, janvier 2009. 

Tout d’abord, la connaissance et compréhension de l’organisme audité. L'audité 
attend une compréhension et a fortiori, une prise en compte de ses problématiques 
et spécificités. Il veut du sur-mesure, de la valeur ajoutée et pas de banalités. D'où 
l’importance de l’étape de compréhension de l’audité. 

Deuxième caractéristique, la pédagogie, c’est-à-dire la capacité de l’auditeur à 
transmettre un savoir utile à l’audité par des méthodes adaptées. Ce sont les notions 
de transmission du savoir et d’adaptation qui font un bon auditeur. Il ne doit pas donner 
un cours magistral mais faire comprendre à chacun en s’appuyant sur le vécu de l’audit 
pour faire progresser l’audité. Pour cela, il s’agit de se rendre accessible. L’auditeur doit 
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utiliser un langage compréhensible et être capable de vulgariser sa pensée. ET aussi, il 
doit savoir expliquer clairement à l'oral comme à l'écrit (rapport d'audit) les observations 
d'audit et, pour les écarts, démontrer les risques associés. 

Troisième caractéristique, le professionnalisme. Il existe une « posture » de l'auditeur qui 
passe par le respect d'une déontologie et d'une méthodologie éprouvée, d'une approche 
pragmatique de l'audit (« l'ingénierie » d'audit) et par une homogénéité maîtrisée entre 
auditeurs successifs. D'où l'intérêt de certains organismes, lors des audits tierce partie, de 
s'adresser à des certificateurs disposant d'un pool d’auditeurs importants, qualifiés, formés et 
maintenus à niveau selon des dispositions claires et de façon homogène. C'est une garantie 
de qualité dans la durée et dans l'espace (différentes localisations géographiques). 
Quatrième caractéristique, la capacité à établir une relation adaptée avec les audités 
et le contexte de travail. C’est tout d'abord la recherche de l'adaptation au travers d’un 
savant dosage entre boîte à outil générique et sur-mesure. C'est-à-dire la capacité à 
ne pas appliquer systématiquement le même plan d'audit, le même questionnement, la 
même structure de réunion de clôture. Tout en s'appuyant cependant sur les modèles 
et guides pour ne pas réinventer la poudre à chaque fois. L'adaptation, c'est aussi la 
recherche d'un subtil équilibre. Équilibre entre audit hors site et audit sur site, équilibre 
entre une posture austère, distante, froide ou intransigeante et une approche accessible, 
ouverte, compréhensive voire empathique. Équilibre entre une approche de contrôle 
de conformité faisant peser le risque de la sanction et une volonté de faire progresser 
l'organisme. Enfin, l'auditeur doit savoir sortir parfois du cadre industriel de l'audit par 
exemple en personnalisant certaines phases (par exemple, effectuer sur site la phase 
d'audit documentaire préalable généralement effectuée hors site. 
Cinquièmecaractéristique, l'expertise. L'expertise, c’est la capacité del’auditeurà raisonner 
en système intégré, en multisites, en équipe pluridisciplinaire. Il doit démontrer qu'il maîtrise 
l'offre toujours plus vaste de référentiels et surtout leur interdépendance. L'expertise, c'est 
aussi sa capacité à capitaliser et à transférer ses connaissances et compétences. Il doit par 
exemple pouvoir capitaliser et restituer de manière simple un environnement complexe et 
mettre à profit ses expériences passées (règles, bonnes pratiques, processus type, etc.). 
L'expertise passe aussi par l'apport de valeur ajoutée. L’auditeur doit aujourd’hui plus qu'hier 
apporter un retour sur investissement de plus en plus attendu par l'audité et le commanditaire 
de l'audit. Enfin, l'expertise c'est aussi la capacité de l'auditeur à apporter un étalonnage par 
rapport à ce qu'il voit dans d'autres organismes. 

Enfin dernière caractéristique, la co-construction de l'audit entretenue dans la durée. 
L’auditeur lors de sa préparation doit avoir la capacité de générer une coopération et 
créer, développer et enrichir un climat de confiance. Il doit ainsi engager une collaboration 
active avec les acteurs internes de l'organisation. L'auditeur doit savoir tenir compte 
des attentes particulières du commanditaire ou de l'audité et aménager sa méthode 
et ses techniques d'audit quitte à parfois sortir du cadre imposé de l'audit (sans pour 
autant enfreindre les règles et dépasser les lignes imposées comme par exemple le 
code de déontologie ou la confidentialité). La co-construction dans la durée passe par 
la recherche du maintien d'une plus value lors des audits successifs. La co-construction 
s'opère également avec les autres en sachant « passer la main » lors d'un changement 
d'équipe d'audit ou au contraire « reprendre la main » dans une logique de continuité. 
En un mot, l'auditeur doit savoir « étonner » ses clients. 
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■■ Les aptitudes de l’auditeur 

L’audit n’est pas issu d’une science exacte, les aptitudes de l’audit non plus. 
Il est donc très difficile, bien que déterminant, de mesurer les aptitudes d’un 
auditeur. C’est pourquoi non proposons ici d’analyser comment s’assurer du 
professionnalisme de l’auditeur, de découvrir quelles sont les caractéristiques 
des auditeurs qui font le succès des audits et quelles sont les responsabilités 
et autorités de l’auditeur. 

□ S'assurer du professionnalisme de l'auditeur 

Tout d’abord, comment s’assurer du professionnalisme des auditeurs ? 
Comme ce n’est pas facile, le mieux est de croiser plusieurs aspects 
complémentaires comme la compétence technique, la pratique de l’audit, 
la maîtrise des techniques d’audit, le respect d’une déontologie. Mais avant 
tout, les valeurs humaines. 

Les valeurs humaines sont essentielles. Et commençons par les valeurs 
humaines en tant qu’auditeur. L’auditeur a une capacité d’analyse et de 
synthèse. Il doit être apte à juger, au sens de l’aptitude à former des appré- 
ciations lucides et justes. Il est attentif et appliqué. Serein et non stressé, il 
est résistant à la pression. Il est stable c’est-à-dire ferme et non influençable. 
Il est honnête, loyal et reste objectif en toute situation. Il est diplomate et 
procède avec tact. Il est respectueux et a une sensibilité culturelle. 

Et aussi les valeurs humaines en situation d’audit. L’auditeura une capacité à 
rassurer les audités. Il est pédagogue par rapport au référentiel et à l’objectif 
de l’audit en contribuant ainsi à faire passer certains messages utiles et 
judicieux auprès de la direction générale, sur le terrain, ou auprès de tel 
ou tel responsable. Il utilise les observations comme levier important de 
progrès. Il fournit au dirigeant une aide à la prévision, à la prévention, à la 
performance, à l’amélioration. 

Le professionnalisme est ensuite mesuré par la maîtrise du domaine à auditer 
tant en terme de compétence technique que de maîtrise pratique (et pas que 
théorique). L’auditeur doit bien connaître sinon maîtriser le domaine à auditer. 
L’auditeur parfait à tout domaine n’existant pas, on s’efforcera d’identifier celui 
dont le profil répond au maximum des caractéristiques suivantes : 

- métiers comme les systèmes d’information, le management de projet, la 
gouvernance d’entreprise, l’électronique ; 
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- secteurs économiques comme le nucléaire, l’énergie, les télécoms ; 

- nature juridique de l’organisation comme SARL, SA, SAS ou encore 
franchise ; 

- taille exprimée en terme par exemple d’effectifs ou encore de niveaux 
hiérarchiques ; 

- organisation comme par exemple l’organisation en réseau ou 
l’organisation en société mère-filiales-ho/d/ng-agences ; 

- implantation géographique en terme de sites, de régions ou de pays. 

La pratique et l’expérience de l’audit sont également un aspect important à 
mesurer. Un auditeur est d’autant plus efficient qu’il a derrière lui plusieurs 
années de pratique. C’est en étant confronté au terrain, à des situations par- 
fois difficiles, quelquefois même imprévisibles, que l’auditeur apprend. Mais 
cette expérience personnelle n’est rien en regard de l’expérience cumulée par 
ses confrères auditeurs avec qui il partage expériences, méthodes, outils et 
retours d’expérience. L’expérience d’un auditeur se mesure plus parla taille 
de son réseau de partenaires auditeurs avec lesquels il capitalise expériences 
et connaissances que par l’expérience de l’auditeur lui-même. 

Le professionnalisme passe ensuite par la maîtrise des techniques d’audit. 
C’est pourquoi on s’efforcera de mesurer l’utilisation de règles de qualification 
issues de normes et standards, la qualification de l’auditeur par un comité 
reconnu, les moyens de tutorat et d’accompagnement mis en œuvre pour 
l’auditeur (cf. § 4.3p. 111). Mais aussi la qualité et complétude de sa boîte à 
outils d’audit c’est-à-dire les guides, modèles, plans type dont il dispose. 

Enfin, un dernier moyen de mesure du professionnalisme consiste à ana- 
lyser l’engagement de l’auditeur par rapport à un code de bonne conduite. 
La mesure peut se faire sur trois niveaux : L’auditeur respecte-t-il un code ? 
Ce code est-il formalisé ? Ce code est-il complet ? 

-♦Voir encadré pratico-pratique « Le code de bonne conduite de l’auditeur » 

En effet, le code de bonne conduite est nécessaire pour instaurer la confiance 
entre les différentes parties prenantes de l’audit. Et à instaurer cette confiance 
le plus tôt possible, voire à l’instaurer a priori c’est-à-dire avant même d’avoir 
commencer à collaborer. L’audité et le commanditaire vont durant l’audit livrer 
énormément d’informations confidentielles voire stratégiques à un parfait 
inconnu. Comment cela serait-il possible sans la confiance et donc sans code 
de bonne conduite de la part de l’auditeur. Ce code de bonne conduite s’appuie 
systématiquement sur un code de déontologie (indépendance, confidentialité, 
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objectivité, etc.). Et plus rarement sur une charte de valeurs. C’est-à-dire les 
valeurs exprimées ci-avant mais officialisée par une charte. 

Tous ces points sont d’autant plus vrais que le commanditaire (ou l’audité) 
souhaite garder une continuité et une homogénéité d’un audit à l’autre. Et 
toujours plus de valeur ajoutée. 



Pratico-pratique 

Le code de bonne conduite de l'auditeur 



Le code de bonne conduite s'appuie systématiquement sur un code de déontologie. Et 
peut s'appuyer aussi sur une charte de valeurs. 

Le code de déontologie est selon l'IS0 1 901 1 :2002, « lefondementdu professionnalisme » 
et se traduit par la confiance, l'intégrité, la confidentialité et la discrétion. 

Plus complètement, il consiste : 

- à informer avant la mission d'audit qui lui est proposée de toute situation 
particulière qui pourrait faire douter de son indépendance de jugement ; 

- à mettre en évidence les faits en toute objectivité, avec exactitude et précision ; 

- à entretenir en permanence une attitude de dialogue ; 

- à assurer la confidentialité des informations reçues au cours de sa mission sous 
toute forme que ce soit (documents, observations, entretiens). 

La charte de valeurs peut quant à elle contenir des principes comme : 

- le fait que les auditeurs appliquent à eux-mêmes les préconisations qu’ils 
proposent à leur client ; 

- l'engagement des auditeurs à mesurer la performance des audits qu’ils 
réalisent ; 

- la tenue des engagements ; 

- les valeurs humaines du quotidien telles que l’honnêteté, la sincérité, la modestie, 
le respect, le contrôle de soi ou la politesse. 

Si les valeurs sont indispensables, leur formalisation sous forme de charte est plus rare. 



□ Les caractéristiques des auditeurs 
qui font le succès des audits 

Pour bien cerner les aptitudes de l’auditeur, intéressons-nous aux audits et 
à leur succès. Le succès des audits repose sur des auditeurs caméléons, 
emphatiques, convaincus et qui communiquent. 

Comme le caméléon pourvu d’adaptations remarquables à l’environnement, 
le succès repose sur des auditeurs à l’aise dans le domaine objet de l’audit et 
ayant démontré une capacité d’adaptation rapide. Ils ont également la capacité 
à se projeter rapidement dans un univers qui n’est pas leur univers habituel. 
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Le succès de l’audit repose aussi sur des auditeurs qui auditent avec empa- 
thie, « faculté intuitive de se mettre à la place d’autrui, de percevoir ce 
qu’il ressent » 5 . Pour cela, ils ont par exemple eux-mêmes travaillé par le 
passé, ou mieux, encore aujourd’hui, sur les sujets qu’ils auditent. Ils ont 
déjà été à la place des audités, et, à leur place, ils mettraient vraiment en 
pratique les pistes de progrès proposées (qui sont du coup plus pertinentes 
et réalistes). 

Dans la même logique, les auditeurs doivent aussi être convaincus de l’utilité 
et des vertus de l’audit. On peut être auditeur par métier, par passion, par 
intérêt, par hasard. L’auditeur à valeur ajouté est avant tout celui qui est 
convaincu des vertus de l’audit. 

Enfin le succès de l’audit est confirmé par des auditeurs qui communiquent, 
communiquent, et communiquent. Cette communication est utile tout au 
long des étapes d’audit pour comprendre, connaître, partager, échanger, 
analyser et conclure. 

Il est difficile d’appréhender ces aptitudes a priori. Il faut donc, soit voir 
l’auditeur en action, soit s’appuyer aussi sur les évaluations d’audit faites 
par les différentes parties prenantes (cf. § 3.5 p. 89). 



□ Les responsabilités et autorités de l’auditeur 

Les aptitudes de l’auditeur sont identifiables en cernant bien ses respon- 
sabilités et autorités. Elles permettent de fixer un cadre dans lequel l’audi- 
teur va évoluer, en couvrant l’intégralité de ce cadre mais sans jamais le 
dépasser. 

L’auditeur a la responsabilité de conduire la mission en respectant le cadre 
fixé par le commanditaire de l’audit (cf. § « Étape d’expression de besoin » 
p. 40). Pour le cas particulier du responsable d’audit, cette responsabilité se 
matérialise par la validation du plan d’audit et du rapport d’audit. Pour le cas 
particulier des audits de commissaires aux comptes par exemple (cf. § 6. 1 
p. 131), la responsabilité est bien plus marquée puisqu’elle concerne la res- 
ponsabilité civile, la responsabilité pénale et la responsabilité disciplinaire. 

L’autorité de l’auditeurdépend de la nature de l’audit. L’autorité est à prendre 
au sens de « pouvoir de décision sans remise en cause possible ».Aminima, 



5 Source : Dictionnaire Larousse. 
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l’autorité se limite à un refus de réaliser la mission proposée. Elle intègre 
aussi la formulation de conclusions par rapport à l’objectif de l’audit (par 
exemple, délivrance, maintien ou retrait d’une certification). Dans certains 
cas, les audits de commissaires aux comptes par exemple, elle est étendue 
à la procédure d’alerte auprès du Tribunal de commerce en cas de risque 
de non-continuité de l’exploitation. 

Enfin, il est nécessaire de rappeler que dans les faits, l’auditeur a plus une 
obligation de moyens que de résultat. Certes, il doit fournir une conclusion 
d’audit mais comment mesurer, a priori, la qualité de cette conclusion ? Si 
ce n’est peut-être en respectant les étapes de l’audit, l’indépendance, la 
méthodologie et autres recommandations de cet ouvrage. 

L’ISO 19011:2002 précise les aptitudes minimales requises. 

■+ Voir encadré pratico-pratique « Le profil des auditeurs selon l’ISO 19011 :2002 » 



Pratico-pratique 

Le profil des auditeurs selon l’ISO 19011:2002 



Rappelons que l'ISO 19011:2002 définit les lignes directrices pour l'audit des systèmes 
de management. Et plus précisément pour la partie qui nous concerne ici, donne des 
conseils sur le profil des auditeurs, à savoir : 

- principes pour auditeurs (déontologie, impartialité, professionnalisme) ? ; 

- compétence et évaluation des auditeurs ; 

- qualités personnelles ; 

- connaissances et aptitudes ; 

- formation initiale, expérience professionnelle, formation d'auditeur et expérience 
d'audit ; 

- évaluation des auditeurs (processus et méthodes d'évaluation). 

Seuls les titres sont repris ici pour informer de l'existence de ces dispositions. Le détail 
est disponible selon intérêt par simple consultation de la norme. 



■■ L’attitude de l’auditeur durant l’audit 

Après les aptitudes, l’attitude. C’est-à-dire qu’après avoir vérifié les 
dispositions de l’auditeur, nous nous intéressons ici à la manière d’être, au 
comportement. 

Et pour fournir le meilleur audit possible, et la mesure la plus juste possible, 
l’auditeur doit en permanence faire preuve de savoir être comportemental, de 
savoir poser des questions, de savoir prendre des notes et de savoir adapter 
et ajuster son attitude aux différentes situations vécues lors de l’audit. 
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□ Savoir être de l’auditeur 

Mais quel est donc ce savoir être de l’auditeur ? 

L’auditeur doit d’abord avoir l’attitude correspondant à l’approche d’audit 
qu’il souhaite. Il existe une palette de nombreuses attitudes parmi lesquelles 
l’auditeur pourra puiser celle à adopter à un moment donné de l’audit et dans 
un contexte donné d’entretien. Il va par exemple pouvoir pratiquer l’enquête, 
c’est-à-dire l’approche consistant à tout faire pour obtenir des informations 
jugées importantes. Il peut aussi adopter une approche par le factuel, c’est- 
à-dire que l’auditeur va chercher à étayer de preuves une observation jugée 
particulièrement importante. Il peut aussi retenir l’approche de l’évaluateur, 
c’est-à-dire l’analyse des informations et leur comparaison par rapport au 
référentiel. Ou encore choisir un comportement de soutien en agissant sur 
ce que ressent l’audité pour obtenir son adhésion ou encore une attitude 
consistant à apporter des exemples de solutions à une situation donnée pour 
faire adhérer l’audité. Parmi ces exemples d’approches, il n’y en a pas une ni 
fondamentalement, ni systématiquement plus pertinente que l’autre. Toutes 
sont utilisées durant l’audit en fonction du contexte et de la situation. 

L’auditeur doit ensuite écouter au sens le plus large possible. Face à une 
véritable posture d’écoute sincère, les audités se livrent et se confient, ce 
qui étonne toujours le management de l’audité. D’abord, écouter les mots, 
mais également l’intonation de la voix ou le rythme. Et « écouter » aussi le 
« non-dit » c’est-à-dire prêter attention à certains signes riches d’information 
comme les gestes, les regards, les postures, etc. La reformulation fait partie 
aussi des techniques d’écoute. En effet, en reformulant, l’auditeur s’assure 
que ce qu’il a entendu et compris correspond bien à ce que l’audité a souhaité 
exprimer. L’écoute c’est aussi pour l’auditeur la capacité à se dégager de tous 
les obstacles et freins « internes », comme ses préoccupations personnelles 
du moment ou ses a priori. 

L’auditeur se doit aussi de respecter les différentes personnalités d’audité qu’il 
va être amené à rencontrer et avec lesquelles il va s’entretenir. Que l’audité 
soit plutôt muet, intarissable bavard, expert, résolument timide ou encore à 
caractère plutôt impulsif, l’auditeur doit être capable de s’en accommoder et 
s’adapter au contexte pour conduire sa mission à bien. 

Un autre traitdesavoirêtreconsisteàsavoirtoujours garderie cap surl’objectif 
de l’audit. Rien ne doit détourner l’auditeur de cet objectif malgré les aléas, 
la fatigue, le stress et les éventuelles tentations. Même si c’est difficile. 
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L’auditeur doit être objectif (et non subjectif), factuel et donc systématique- 
ment étayer de preuve toute observation importante qu’il est amené à faire. 
Pas d’interprétation donc. L’auditeur n’est surtout pas là pour imaginer ou 
supposer. Par exemple, un commentaire du type « j’ai l’impression que votre 
système de supervision n’est pas assez performant » est à bannir. Il en va 
de même pour des formulations qui commencent par « il me semble », « j’ai 
le sentiment », « il paraîtrait » et qui produiront le même effet. 

L’attitude de l’auditeur doit lui permettre de ne pas avoir d’a priori. L’auditeur 
n’est pas là pour se raccrocher à ce qu’il connaît ou ce qu’il a l’habitude de 
faire ou de voir. Par exemple, une question formulée par un auditeur du 
type « Pourquoi n’utilisez-vous pas des dispositifs de contrôle d’accès pour 
maîtriser vos accès physiques ? » est à bannir. L’auditeur observe ce qu’il 
voit, objectivement et sans a priori , et pas ce qu’il aimerait voir ou ce qu’il a 
déjà vu dans d’autres organismes. 

Enfin, l’auditeur ne s’immisce pas dans la gestion de l’organisme. N’ayant pas 
la connaissance de tout le contexte, de l’historique ou de la stratégie, il ne 
peut prétendre savoir mieux que les audités ce qu’il faut faire. L’auditeur dit 
« ce qui ne va pas », l’audité dit « comment corriger ». Ce qui ne l’empêche 
pas d’être force de proposition et de formuler des suggestions. 

□ Savoir poser des questions 

De plus, ce savoir être comportemental inhérent à l’auditeur, se complète 
aussi par un savoir être plus spécifique, celui de savoir questionner. En effet, il 
n’y a jamais de mauvaises réponses, il n’y a que de mauvaises questions. La 
question joue donc un rôle prépondérant lors de l’audit. Une bonne question 
s’appuie judicieusement sur sa forme, son pouvoir, sa direction, sa motivation 
et sa préparation (cf. figure 3. 1). 

La préparation de la question est, sans nul doute, le plus important. Car cela 
conditionne le type de réponse que l’audité va apporter. Si la question est 
mal préparée, l’audité peut donner des réponses qui ne correspondent pas 
à ce que l’auditeur recherche. 

Viennent ensuite la forme et la motivation de la question. En ce qui concerne 
la forme, l’auditeur peut poser des questions ouvertes ou des questions 
fermées. Les questions ouvertes (commençant par comment, qui, quel, 
combien, où, quand, pourquoi) ? sont à utiliser lorsqu’il souhaite que l’audité 
apporte une réponse développée et complète. La question fermée, elle, est 
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employée pour avoir une simple réponse par oui ou non en guise de confir- 
mation. La motivation de la question permet d’annoncer le but à l’audité, le 
pourquoi de la question (par exemple « afin de... dans le but... de manière 
à... pour... dans le cadre de, etc. »). 

Enfin, avec le pouvoir de la question l’auditeur suscite l’intérêt ou l’interroga- 
tion de l’audité plutôt que d’affirmer ou de porter un jugement qui a tendance 
à générer chez l’audité une réaction de rejet. En ce qui concerne la direction, 
la question montante permet d’amener l’audité vers les valeurs, principes, 
politiques. Alors que descendante, elle ramène vers les faits concrets. Par 
exemple, après avoir analysé le processus commercial, une question mon- 
tante du type « en quoi ce processus est cohérent avec la stratégie ou la 
politique ? » est une question montante. Alors qu’une question descendante 
serait du type « pourquoi la validation du contrat ne fait pas intervenir le 
client ? ». 




Figure 3.1 La force de la question 



□ Savoir prendre des notes 

Une autre attitude et savoir être spécifique est la capacité à prendre des 
notes. La prise de note est avant tout la preuve de l’intérêt que l’auditeur 
porte à son interlocuteur (donc en continu). Elle est indispensable car c’est 
une trace écrite qui reste. Elle doit être la plus exhaustive possible et rester 
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fidèle aux observations faites durant l’audit, sans parti pris, ni interprétation. 
Idéalement, la prise de note est réalisée dans le vocabulaire de l’interlocuteur, 
sans interprétation. 

-♦Voir encadré pratico-pratique « Le support de prise de note en images » p. 52 



□ Savoir adapter et ajuster son attitude 
à son interlocuteur 

Enfin l’attitude de l’auditeur fait qu’il doit savoir s’adapter à son interlocuteur, 
en toutes circonstances. Car chaque audité a des attentes propres liées à 
son organisation, son activité, son environnement, sa taille. . . Et à l’intérieur 
de chaque organisme, chaque fonction a également ses propres attentes. 
Alors comment s’adapter ? 

• Trouver l’attitude adéquate 

Tout d’abord en choisissant judicieusement l’attitude appropriée à la situation. 
Le tableau 2.1 présente quelques exemples de situations vécues. Et pour 
chaque situation, un exemple d’attitude appropriée de l’auditeur. 



Tableau 2.1 Situations d’audit et attitude d’auditeur 



Exemples de situation d'audit 


Exemples d’attitude appropriée 
de l’auditeur 


Échange « ping-pong » c'est-à-dire 
enchaînement de questions-réponses ou 
bien lors d'incompréhensions en cascade 
entre l'auditeur et l'audité 


Recentrer, recadrer, reformuler et préciser 
pour repartir sur de bonnes bases. 


Constat que les objectifs de l'audit sont trop 
ambitieux 


Prendre contact avec le commanditaire 
pour revoir les objectifs à la baisse, mettre 
à disposition des moyens supplémentaires, 
etc. 


Conflits, oppositions entre l'auditeur et 
l'audité 


Savoir prendre position, savoir dire non, 
décider 


Détection d'un fait marquant ou important 


Interrompre, réagir ou au contraire marquer 
encore plus la position d'écoute 


Constat que le temps manque pour tout 
faire 


Relister le reste à faire et gérer les priorités, 
faire des choix 
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• Apprendre à s’évaluer pour bien s’adapter 

S’adapter ensuite, en exploitant et renforçant ses compétences. Autrement 
dit, s’adapter s’apprend. Il faut donc que chaque auditeur évalue ses capaci- 
tés à planifier, suivre, coordonner, écouter, questionner. Il existe par exemple 
des outils d’évaluation de profils qui permettent de s’étalonner par rapport 
aux meilleurs auditeurs. L’évaluation par les pairs est également un bon 
moyen. L’évaluation en condition d’audit étant le moyen le plus classique 
(cf. § 3.5 p. 89). 

Voici quelques exemples de compétences sur lesquelles l’auditeur 
peut être amené à s’évaluer pour voir s’il a besoin de renforcer ses 
compétences : 

- l’organisation personnelle. Chaque auditeur étant différent et doit donc 
bâtir sa boîte à outil pour accroître sa capacité d’organisation ; 

- la maîtrise des urgences. L’auditeur sait et doit faire la différence entre 
l’important et l’urgent. Et traite toujours l’important sans se laisser 
entraîner par l’urgence ; 

- la délégation et le travail en équipe. L’auditeur peut être amené à 
déléguer des tâches et expertises à d’autres membres de l’équipe 
d’audit. L’auditeur sait donc déléguer. Déléguer ne signifie pas transférer 
aux autres ce qui ne l’intéresse pas, qui est difficile, moins agréable ou 
compliqué ; 

- la replanification en temps réel. L’auditeur doit tout planifier et se tenir 
à sa planification surtout si l’équipe d’audit est composée de plusieurs 
acteurs. Planifier, oui, mais tout en sachant gérer les imprévus et les 
intégrer dans le thème adéquat au moment approprié ; 

- le travail sur la durée, par l’enrichissement d’audit en audit. L’auditeur 
doit savoir perdre du temps suite à un audit pour en gagner pour les 
prochains. Par exemple, en affinant sa structure de classement, en 
classant tout dossier en cours ou terminé ou encore en capitalisant les 
retours d’expérience après chaque audit. Le classement est primordial 
pour tout retrouver au moment opportun et notamment entre membres 
de l’équipe d’audit ; 

- le travail en temps réel. Traiter, classer, restituer, jeter en temps réel 
toute information reçue. L’auditeur n’a pas de pile « en attente ». Et ne 
dit pas « je vais prendre le document, je le regarderai plus tard ». 
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• S’adapter en tenant compte de chaque profil d’audité 

Chaque audité peut également avoir ses propres attentes. Celles d’un 
dirigeant ne sont pas les mêmes que celles d’un responsable qualité- 
environnement-sécurité, qui diffèrent également de celles d’un responsable 
production. Il faut garder en tête le champ et l’objectif de l’audit, et s’en tenir 
à cela. L’auditeur peut satisfaire les attentes spécifiques de tel ou tel audité 
par des observations orales, des compléments lors des pauses ou hors audit, 
voire les formai iser dans le rapport en les identifiant clairement comme « hors 
référentiel ». Dans la mesure où ces compléments ne sont pas contradictoires 
avec sa mission et ne viennent pas perturber sa mission principale. Dans le 
cas contraire, il signalerait aux demandeurs son impossibilité à répondre à 
ces attentes spécifiques. 



■■ Les différentes approches d’audit possibles 

L’auditeur va jongler avec diverses approches tout au long de l’audit. Que 
ce soit au niveau des approches d’audit, qu’au niveau des approches 
comportementales. 



□ Les approches d'audit proprement dites 

Diverses approches d’audit sont possibles suivant la nature de l’audit, 
l’avancée de l’audit, le profil des audités, le thème audité : approche par le 
bon sens, approche déductive, approche inductive, analyse de processus, 
analyse par sondage, analyse système ou analyse par les exigences. 

L’approche par le bon sens n’appelle aucun commentaire puisqu’elle relève 
du seul bon sens de l’auditeur. Bon sens que nous oublions parfois, trop 
empêtrés dans les outils, les méthodes et autres techniques. 

L’approche déductive, appelée aussi technique de l’entonnoir, consiste à 
partir du général pour aller au particulier. C’est une analyse amont-aval. 

L’approche inductive dite du cas d’école. Elle permet par exemple de 
comprendre à partir d’un cas particulier. Puis, l’exemple étant explicité et 
intégré par l’auditeur, de s’en servir comme fil conducteur à la compréhension 
plus globale du système. C’est une analyse aval-amont car elle s’intéresse aux 
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effets (résultat) pour remonter jusqu’à la cause (processus, procédures, etc.). 
Elle est notamment intéressante à employer pour adresser et comprendre 
les thèmes complexes. 

L’analyse de processus consiste à s’intéresser à la définition des proces- 
sus. C’est-à-dire à chacune de leurs caractéristiques comme leurs données 
d’entrée, leurs données de sortie, les méthodes utilisées, les moyens mis à 
disposition du processus, les dispositions existantes en matière de contrôle 
et surveillance, la valeur ajoutée, leurs enregistrements. Elle permet de s’in- 
téresser à un processus indépendamment de l’organisation, des exigences, 
etc. C’est une approche plus transverse. 

L’analyse par sondage consiste à procéder par échantillonnage, notam- 
ment en recherchant des preuves sur différents exemples, projets. . . choisis 
aléatoirement pour conforter une observation. 

L’analyse système est une analyse amont-aval (Plan-Do-Check-Act). Elle 
consiste à parcourir le « fil » à partir du global, puis en analysant le terrain, 
pour enfin reboucler au niveau global. Elle est utile notamment en début et 
fin d’audit. 

L’analyse par les exigences consiste à traiter exigence par exigence. Elle 
présente l’avantage de bien rester calée dans le champ de l’audit. Elle est 
très analytique. Elle est intéressante pour investiguer sur un sujet précis. 



□ Les approches comportementales 

En matière de comportement, et pour être efficient, l’auditeur va également 
« jongler » tout au long de l’audit avec diverses approches possibles. 

Il est amené à croiser l’approche top-clown avec l’approche bottom-up comme 
nous l’avons par exemple vu pour le classement des observations. 

-* Voir encadré pratico-pratique « Le juste classement des observations » p. 69 

Il jongle entre la préparation et l’improvisation. La préparation, c’est la 
planification, la veille, la connaissance de l’audité. L’improvisation, c’est la 
gestion des imprévus, la découverte en temps réel. Quand peut-on se per- 
mettre d’improviser ? Quel est le minimum à préparer pour être crédible et 
performant mais en un temps minimum ? Il est clair que l’improvisation et 
l’optimisation de la préparation n’est possible que pour les auditeurs expé- 
rimentés. Et uniquement lorsque l’audit n’a pas d’enjeu majeur. Plus il est 
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expérimenté et plus l’auditeur va pouvoir s’appuyer sur son expérience pour 
optimiser le temps passé en préparation (dans la logique des 20-80 du 
principe de Pareto). Convaincu que son expérience fera le reste lors de 
l’audit sur site. 

Il manie avec dextérité tout au long de l’audit, tant « l’entonnoir » que le 
« tire-bouchon ». « L’entonnoir » consiste à affiner progressivement jusqu’à 
aboutir aux observations. Le « tire-bouchon » consiste partir d’un cas parti- 
culier et précis pour collecter les premières observations. Et, à partir de ces 
premiers éléments obtenus, à consolider progressivement en remontant 
vers le général. 

Dernier exemple, le « novice » ou l’« expert ». L’auditeur va, selon le profil 
des audités, pouvoir choisir un rôle à jouer entre le « novice » et « l’expert ». 
Le rôle d’expert consiste à démontrer sa forte connaissance du sujet et donc 
positionner l’audit à un niveau d’expertise pointu. C’est en tout cas comme 
ça que va réagir l’audité. Avec d’autres audités, au contraire, l’auditeur va 
se positionner plutôt comme un novice, non pas au niveau du référentiel, 
sujet sur lequel il est irréprochable. Mais plutôt novice par rapport au métier 
ou à l’activité de l’organisme. Il s’agit là d’un rôle que l’auditeur va jouer, 
amenant ainsi l’audité à utiliser un langage plus accessible et à donner plus 
de détails et d’explication. 

Dans tous ces cas, l’auditeur garde la parfaite maîtrise de la situation. Il 
ne s’agit pas de jouer un rôle de novice, ou d’improviser, sans une solide 
expérience de ce type de comportement. 



□ La dimension temporelle 

Enfin, dans son approche de l’audit, l’auditeur peut balayer tout ou partie 
de la dimension temporelle lors de son audit. La dimension temporelle se 
décline sur 3 axes : le passé, le présent et le futur (cf. figure 3.2). 

Le passé, c’est la vision « rétroviseur » c’est-à-dire la vision que l’on a 
en regardant à l’arrière (le passé) par le rétroviseur. L’auditeur s’intéresse 
par exemple aux bilans, aux performances financières, à l’évolution des 
contrats. 

Le présent c’est la vision terrain actuelle. L’auditeur s’intéresse par exemple 
aux rapports d’activité du moment, réclamations en cours, au planning. 
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Le futur, c’est la vision « pare-brise », c’est-à-dire la vision que l’on a en 
regardant devant soi (le futur) par le pare-brise. L’auditeur s’intéresse alors 
aux risques, à la planification, aux prévisions effectuées, aux budgets qui ont 
été définis ou encore aux perspectives de marché qui sont anticipées. 



Analyse du passé 



Performances 

financières 



<4 



Rétroviseur 



Analyse du présent 



organisation, système 
de management, ... 



► 



Analyse du futur 

► 

t 

risques, planification, 
prévisions, 
investissements, 
perspectives marché, 
concurrence 



Pare-brise 



Figure 3.2 La dimension temporelle lors de l’audit 



■■ La rémunération de l’auditeur 

Il est nécessaire pour une réussite de l’audit et l’apport de valeur ajoutée 
d’avoir une juste rémunération de l’auditeur, tant pour le commanditaire que 
pour l’auditeur. Le commanditaire doit payer le juste prix, ni trop ni trop peu 
par rapport à son besoin. L’auditeur doit être rémunéré à sa juste valeur, en 
fonction de sa compétence ou encore de la valeur ajoutée apportée. Voyons 
par quoi cela se traduit précisément. 

Cette juste rémunération est calculée selon différents paramètres : 

- le calcul de la charge définie d’après un barème fixé par le 
commanditaire, par expérience ou selon des normes en fonction de 
paramètres dimensionnant dont les principaux sont le chiffre d’affaires, 
le résultat, les effectifs, le nombre de sites, le nombre et la complexité 
des processus, le nombre de « lignes » de produits ou services ; 

- la détermination du tarif jour calculé sur une base de huit heures 
d’audit par jour. De par la concentration nécessité par l’audit, il est 
difficile d’auditer durant plus de huit heures par jour. Le tarif jour est 
généralement libre. Et le « prix du marché » très variable allant de 
quelques centaines à plus de deux mille euros ; 

- l’adaptation de la rémunération à la complexité des travaux et au 
contexte. L’adaptation concerne la charge ou le tarif jour ou les deux. 
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Par exemple, lorsqu’il ne peut pas négocier un tarif, l’auditeur négocie 
le nombre de jours ; 

- les modalités de facturation comme le remboursement en sus des 
frais sur présentation des justificatifs, facturation à la commande ou à 
l’achèvement des travaux. 

Les paramètres ci-avant sont vrais quelle que soit la nature de l’audit. Lors 
d’audits tierce partie pour un organisme de certification, quelques précisions 
peuvent être apportées : 

- le calcul du nombre de jours d’audit est déterminé à partir des règles du 
Comité français d’accréditation (Cofrac) essentiellement basées sur les 
effectifs de l’entité à auditer. Il ne devrait donc pas y avoir théoriquement 
de différence d’un organisme de certification à l’autre pendant toute la 
durée du cycle de 3 ans ; 

- le tarif jour est fixé contractuellement généralement selon une grille 
tenant compte de divers critères comme le rôle de l’auditeur dans 
la mission, auditeur ou responsable d’audit. Et aussi le nombre de 
référentiels à prendre en compte pour l’audit. Ces critères ne tiennent 
cependant pas compte de la complexité réelle des travaux, ni la 
complexité géographique liée à l’éloignement des sites, les conditions 
d’accès, etc. 

■■ La mesure de la satisfaction 

Nous parlons ici de « mesure de satisfaction » au sens de mesure de la satis- 
faction des parties prenantes quant à l’audit. Et lorsqu’on parle de mesure de 
satisfaction, il faut commencer par souligner deux points essentiels : 

- Le premier est que l’audit reposant essentiellement sur l’auditeur, la 
mesure de l’audit s’apparente souvent à une mesure de l’auditeur. 
L’audit peut très bien s’être mal passé car l’objectif était mal défini, 
la procédure d’audit inappropriée ou l’audité mal préparé. Ou encore 
parce que la relation était tendue entre le commanditaire et l’audité. Bien 
d’autres cas encore ne relèvent pas directement de l’auditeur lui-même, 
de ses compétences ou de sa préparation. Et pourtant c’est souvent 
sur l’auditeur que repose la mesure de satisfaction de l’audit. Et c’est 
normal, car c’est à lui de s’assurer de l’adéquation et la pertinence du 
champ d’audit, du bon niveau de préparation de l’audité, de la conformité 
de la procédure d’audit aux pratiques de la profession, etc. 
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- Le deuxième point essentiel concerne ce que l’on entend par mesure 
de la satisfaction de l’auditeur. Il s’agit bien de l’évaluation de l’auditeur 
dans le cadre d’un audit. Et non pas la dimension relative à l’évaluation 
de la compétence de l’auditeur traitée au chapitre 4.3 p. 111. 

Ces précisions étant faites, parcourons les différentes composantes d’une 
mesure de satisfaction en répondant aux questions suivantes. Qui doit 
réaliser la mesure ? Quels thèmes élémentaires peuvent être mesurés ? 
Comment rédiger son questionnaire de mesure ? 



□ Qui réalise la mesure ? 

Commençons donc par répondre à la première question. Chaque partie 
prenante, à savoir le commanditaire, la direction de l’audité, les audités eux- 
mêmes ou tout membre de l’équipe d’audit, peut être impliqué dans la mesure 
de la satisfaction. Il faut d’abord retenir que chacune de ces parties prenantes 
peut être à l’initiative de la mesure. C’est généralement le commanditaire 
qui s’en charge. Si ce n’était pas fait, nous conseillons aux auditeurs de 
s’occuper de l’enclenchement de cette mesure. Il en est de même lorsque 
la mesure faite par le commanditaire ne permet pas d’évaluer complètement 
la performance de l’auditeur. Il faut ensuite voir qui est sollicité pour effectuer 
la mesure. Chaque partie prenante peut une fois de plus donner son avis 
sur l’audit. Il est vrai que généralement, c’est la direction de l’audité qui est 
majoritairement interviewée Si elles ne sont pas consultées, les autres parties 
prenantes peuvent donner spontanément leur avis. 



□ Quels thèmes élémentaires peuvent être mesurés ? 

Les thèmes que l’on retrouve dans la plupart des mesures de satisfaction, 
quelle que soit la nature de l’audit, concernent l’impression générale, les 
apports de l’audit, la compétence de l’équipe d’audit, la préparation, l’audit 
sur site et la restitution. 

Concernant l’impression générale sur l’audit, on s’intéresse de savoir si 
l’audit était exhaustif, efficient, pertinent. Mais aussi s’il laisse une image de 
professionnalisme. S’il est cohérent d’une étape à l’autre, du début jusqu’à 
la fin. Ou encore s’il a été utile pour chaque partie prenante. 
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Au sujet des apports de l’audit, il s’agit d’évaluer tant les apports théoriques, 
que pratiques. Ainsi que les recommandations, pistes de progrès. Ces apports 
peuvent concerner le référentiel (apports techniques), le processus d’audit 
lui-même, le processus de certification, etc. 

La compétence de l’équipe d’audit est mesurée soit globalement, soit en 
séparant le responsable d’audit des auditeurs et autres experts, soit encore 
individuellement. Des sujets sont de type savoir être comme l’écoute, 
l’objectivité ou la capacité d’adaptation. Ils peuvent concerner la compétence 
technique ou l’adéquation au contexte et à l’activité. 

Quant à la préparation de l’audit, elle couvre la revue préalable et l’organi- 
sation de l’audit sur site selon trois axes : 

- parrapportaux informations remises parles commanditaires (programme 
d’audit, champ, procédure d’audit, etc.) ; 

- par rapport à celles transmises par l’audité (contexte, manuel, plan, etc.) ; 

- en fonction des documents générés par l’équipe d’audit elle-même (plan 
d’audit, documents de travail, etc.). 

Par rapport à la restitution, on mesure différents aspects : la qualité de la 
restitution en fin d’audit (réunion de clôture), la clarté de la suite des évé- 
nements, la pertinence du rapport d’audit et la cohérence d’ensemble de 
tous ces éléments. 

Il est toujours utile de compléter les mesures élémentaires ci-dessus par 
quelques compléments toujours utiles selon les cas. Parexemple pour un audit 
seconde partie, on s’intéressera à la contribution de l’audit à l’amélioration 
des relations entre le client et le fournisseur. Autre exemple, pour affiner la 
mesure du rapport d’audit lui-même, il est possible de mesurer la concision 
et la pertinence de la rédaction (clarté maximale pour un minimum de texte), 
la clarté des observations, la valeur ajoutée, la pertinence de la conclusion 
(étayée de synthèse et détails). 



□ Comment rédiger son questionnaire de mesure ? 

Les questions sont enchaînées selon la technique dite de l’entonnoir c’est-à- 
dire des questions générales aux questions spécifiques, des questions plus 
faciles aux questions plus difficiles. Par expérience, les questions ne doivent 
pas être trop nombreuses et se limiter si possible à une page. 

-♦Voir encadré pratico-pratique « Exemples de questions pour mesurer la satisfaction » p. 92 
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Pratico-pratique 

Exemples de questions pour mesurer la satisfaction 



Voici un exemple de questions qui peut être utilisé pour mesurer la satisfaction de l'audit. 
Dans cet exemple, le commanditaire est à l'initiative de la mesure de satisfaction. Il 
sollicite l'avis de l'audité sur l’intégralité de l'audit avec un minimum de questions. Tout 
en laissant un maximum de latitude à l'audité pour répondre. 

- Quelle est votre impression générale sur l'audit (exhaustif, efficient, pertinent, 
professionnel, cohérent, utile pour vous, etc.) ? 

- Que pensez-vous des apports théoriques, pratiques et des recommandations 
fournis par l'auditeur et l’audit en général ? 

- Que pensez-vous de la compétence de l'auditeur (écoute, compétence 
technique, objectivité, maîtrise de l'audit, compréhension de votre contexte et 
de votre activité, propositions d'amélioration pertinente, capacité d'adaptation, 
etc.) ? 

- Que pensez-vous de la préparation de l'audit (réception du plan suffisamment 
tôt, revue documentaire préalable suffisante, bonne connaissance du contexte, 
prise en compte du programme d'audit, etc.) ? 

- Que pensez-vous de l'organisation de l'audit sur site (respect de la procédure 
d'audit, respect du plan d'audit, poche du terrain, répartition appropriée du temps 
entre les divers objectifs et référentiels d'audit, etc.) ? 

- Que pensez-vous du déroulement de l'audit sur site (du déroulement des 
interviews, de l'observation des activités, de la durée, etc.) ? 

- Que pensez-vous des documents de conclusion d'audit (procès-verbal de 
clôture, contenu annoncé du rapport d'audit, intérêt, complétude, cohérence 
avec la réunion de clôture, cohérence conclusion-synthèse-détail, etc.) ? 

- Plus globalement, quelles améliorations peuvent être apportées au dispositif ? 
La réponse à chaque question est faite en précisant un niveau sur une échelle de 
type « - - », « - », « + » et « + + » complété d'un commentaire libre. La forme de la 
question doit inciter l'audité à apporter de plus de précisions possibles dans la partie 
« commentaire ». 



Au-delà des questions, il faut canaliser les réponses. Nous préconisons une 
échelle de mesure avec un nombre de niveaux pair, c’est-à-dire dépourvue 
de point médian, ce qui force l’interviewé à se prononcer. Et sans trop de 
niveaux (quatre niveaux suffisent). Chaque niveau est matérialisé de façon 
non ambiguë. Par exemple, on préférera les sigles « - - », « - », « + » et 
« + + » ou des smileys plutôt qu’une échelle de « 1 » à « 4 ». 

Pour donner un maximum de liberté à la personne sollicitée pour la mesure 
et maximiser le taux de réponse, il est préconisé de prévoir un retour du 
questionnaire à un tiers indépendant (direction qualité du commanditaire, 
chargé d’affaires, organisme de certification d’auditeur, etc.). Il peut être aussi 



92 





L'audit à valeur ajoutée et le rôle prépondérant de l’auditeur 



intéressant de demander aux audités en fin de réunion de clôture de donner 
leur avis en quelques mots (par exemple, en posant une question du type 
« qu’avez-vous pensé de cet audit ? »). Pour compléter ce premier avis, il 
est possible de remettre alors un questionnaire provisoire et de demandera 
l’audité de le renseigner avec ses impressions à chaud. Sachant qu’il aura 
toujours la possibilité d’affiner et ajuster cette première évaluation après 
réception du rapport. Pour ce faire, le questionnaire de mesure est transmis 
avec le rapport d’audit. Cette mesure étant importante, il ne faut pas hésiter 
à relancer pour obtenir ce précieux retour. 

Notons que le fascicule de documentation FD X50-172:1999, traitant plus 
généralement des enquêtes de satisfaction des clients, peut apporter des 
compléments utiles plus généraux sur la réalisation de cette mesure de 
satisfaction. Ce fascicule de documentation a pour vocation de fournir des 
points de repère de la définition des objectifs à la réalisation pratique d’une 
enquête de satisfaction. 
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2 

Quels retours d’expérience 
pour une mise en oeuvre 
efficiente ? 




L’audit à valeur ajoutée est à ce stade défini et compris. Les recommandations 
pratico-pratiques ont été données pour la mise en œuvre. Oui mais voilà. 
Le quotidien est souvent bien différent, très spécifique, etc. C’est pourquoi 
nous proposons ici d’aller plus loin dans l’application de la méthode et sa 
mise en œuvre. Pour, précisément, tenir compte des spécificités que nous 
rencontrons au quotidien. 

Les spécificités développées dans cette partie concernent tout d’abord la 
certification. « Que penser de la certification ? », « Est-ce utile de se faire 
certifier ? », « Ça change quoi ? », « Quel organisme choisir pour se faire 
certifier ? ». 

Des spécificités ensuite en rapport avec les audités. Et sur la manière de 
créer une relation gagnant-gagnant avec des audités « parfaits ». 

Nous poursuivons avec des spécificités concernant les auditeurs, pour les 
rendre encore plus rapides, plus innovants et plus performants. 

Et enfin, nous concluons avec des spécificités par rapport à différents 
secteurs et situations. Comme les audits de systèmes d’information, les 
audits financiers, les audits de gouvernance, les audits projet, les audits 
de fournisseurs. Ou bien encore les audits de structures complexes et des 
audits à l’international. 
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4 

De l'audit à valeur ajoutée 
à la certification utile 



« Le succès n’est possible que si le talent trouve son instrument et rien n’est pire qu’un 
système tel que la qualité s’y consume dans l’impuissance. » 

Charles de Gaulle - Mémoires d’espoir 

Nous l’avons vu à plusieurs reprises dans les chapitres précédents, il est diffi- 
cile de parler d’audits sans parlerde certification. Qu’il s’agisse de certification 
de système, de certification de service ou de certification de compétences 
d’auditeur, elle est bien présente à différents niveaux. 



■■La certification de système 

La certification de systèmes est liée à un référentiel, c’est-à-dire à la norme 
correspondant à la nature du système de management mis en œuvre par l’orga- 
nisme. La certification de systèmes consiste à certifier parexemple un système 
de management qualité ou environnemental ou de gestion de services informa- 
tiques selon le référentiel ad hoc à savoir ISO 9001 :2008 pour le management 
de la qualité et/ou IS0 14001 :2004 pour le management environnemental et/ 
ou ISO 20000-1 :2005 pour la gestion de services informatiques. 

L’idéal étant de considérer cette certification comme un simple jalon dans 
la vie de l’organisme. 

-4 Voir encadré pratico-pratique « L’audit de certification 

DE SYSTÈME VÉCU COMME UN SIMPLE JALON » 



Pratico-pratique 

L’audit de certification de système vécu comme un simple jalon 



Un organisme vit au rythme de ses propres cycles fixés par les clôtures d'exercice, les 
impératifs des clients, les cycles de produits et services. 

Les cycles d'audit de certification du système de management ne sont qu'un cycle de 
plus. Qu'il peut être pertinent de caler astucieusement par rapport aux autres cycles de 
l'organisme (la clôture d'exercice par exemple). 

En tout état de cause et pour que l'audit de certification soit utile et performant, il n’est 
pas recommandé de considérer le cycle d'audits de certification comme un cycle à part 
entière, indépendant du reste. 
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Il n'est pas non plus opportun de se préoccuper de l’audit de certification quelques mois 
voire quelques semaines avant l’audit. L’audit est une photo à l’instant T de la vie de 
l’organisme dans son état « courant ». Plus la préparation est intense et concentrée 
autour de la date de l’audit, et plus ce peut être révélateur d’un système de management 
peu intégré à la réalité opérationnelle de l’organisme. Et par conséquent d’un audit qui 
sera peu apporteur de valeur ajoutée. 

Sans entrer dans le détail de l’intérêt de la certification ou de son processus, 
deux points suscitent souvent des interrogations : la définition du champ et 
les conditions d’obtention de la certification. 



□ La définition du champ et des exclusions 

La définition du champ d’application et des exclusions possibles sont définies 
par les normes elles-mêmes : 

- définies dans un chapitre particulier. Par exemple, pour ISO 9001 :2008, 
le champ et les exclusions sont définis dans le chapitre 1.2 « périmètre 
d’application ». Précisant entre autre que les exclusions sont possibles 
uniquement au niveau de l’article 7 ; 



Organisme A 


Gestionnaire de service 
interne 




1 







Fournisseur 


Fournisseur 


principal 





I 



Sous-contractant 



Sous-contractant 



- Hors champ de la certification ISO 20000-1 

Figure 4.1 Exemple de définition de champ d’application 
pour l’ISO 20000-1 (gestionnaire interne) 

Source : fascicule ISO/IEC DTR 20000-3 
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- développées dans un fascicule normatif spécifique. Par exemple, pour 
ISO 20000-1:2005, fascicule ISO/IEC DTR 20000-3 « Technologies de 
l’information - Gestion des services - Partie 3 : Directives pour l’étude 
du domaine d’application et l’applicabilité de l’ISO/CEl 20000-1 ». Les 
figures 4.1 et 4.2 donnent deux exemples. 

Il est vital de bien définir son champ d’audit en rapport à son objectif. Et 
quand on est client, de bien regarder le périmètre qui se « cache » derrière 
un certificat. Tous les organismes certificateurs proposent un système en 
ligne permettant de vérifier le certificat et son champ d’application. 



Organisme client 



Gestionnaire de service 
externe 



1 



Fournisseur 




Fournisseur 




principal 






i 



1 1 



Sous-contractant Sous-contractant 



Hors champ de la certification ISO 20000-1 

Figure 4.2 Exemple de définition de champ d’application 
pour l’ISO 20000-1 (gestionnaire externe) 

Source : fascicule ISO/IEC DTR 20000-3 

Pour illustrer l’importance et la complexité de cette question du champ 
d’application, prenons quatre exemples. Chaque exemple ci-après présente 
un contexte suivi d’une interrogation relative au champ. L’exemple se termine 
par des éléments de réponse. À noter que toute ressemblance avec des faits 
ou sociétés existantes ou ayant existé n’est pas purement fortuite. 

Le premier exemple concerne un groupe dont une des filiales est certifiée 
ISO 9001:2008. La holding regroupe l’équipe de direction et les moyens 
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généraux dédiés aux filiales (ressources humaines, achats, marketing, 
commercial, finance, systèmes d’information et qualité). Ce groupe souhaite 
également certifier la holding ISO 9001:2008. Ce groupe doit-il intégrer la 
holding dans le périmètre de la fil iale déjà certifiée ou doit-il certifier la holding 
à part entière ? 

Pour la filiale certifiée, les processus supportés par la holding s’apparentent 
à des processus externalisés (au sens de l’ISO 9001:2008 chapitre « 4.1 
Exigences générales »). Et à ce titre, ils doivent déjà être maîtrisés dans le 
cadre de la certification existante. Les intégrer dans le périmètre de certifi- 
cation de la filiale présente donc peu d’intérêt. 

Une certification de la holding n’a pas de sens pour les clients externes au 
groupe et à ses filiales (les clients finaux). Elle ne présente d’intérêt qu’en 
interne, pour garantir la satisfaction des clients de la holding que sont les 
filiales. Les moyens généraux dédiés aux filiales, considérés comme pro- 
cessus support pour la filiale, deviennent dans le cadre de la certification de 
la holding, l’activité à certifier. 

Ajoutons que de part la certification de la holding, l’audit de certification de 
chaque filiale sera simplifié. Mais dans cette logique d’optimisation des audits 
de certification, ne serait-il pas intéressant de certifier carrément le groupe ? 
Nous vous laissons méditer sur la question. 

Dans le deuxième exemple, il s’agit d’un groupe composé d’un siège et de 
quatre filiales : une filiale équivalente à une direction des systèmes d’information 
(DSI)et trois filiales métiers. Les filiales métiers sontclientes de la filiale DSI pour 
la gestion de leur informatique interne. C’est le siège qui définit les services à 
rendre aux métiers, qui fixe les budgets et les coûts, etc. La filiale DSI peut-elle 
prétendre à une certification ISO 9001 :2008 ou ISO 20000-1 :2005 ? 

La filiale DSI en tant que telle peut tout à fait prétendre à une certification 
ISO 9001 :2008 par exemple par rapport à ses activités de « conseil, d’inté- 
gration de systèmes, d’infogérance et de tierce maintenance applicative » ou 
de « conception, développement, exploitation et externalisation de solutions 
informatiques et télécom ». 

En ce qui concerne ISO 20000-1 :2005, c’est plutôt le groupe (et pas la filiale 
DSI) qui peut prétendre à la certification pour ses activités de « Production 
et services informatique groupe » ou « conception, développement, réali- 
sation de prestations d’études, d’exploitation, de support technique pour 
l’informatique du groupe ». 
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Le troisième exemple concerne une société de conseil en service manage- 
ment (ITSM) incluant le conseil en ISO 20000. C’est une société qui prétend 
à la certification ISO 20000-1:2005 pour la « réalisation de prestations de 
services informatiques pour le compte de ses utilisateurs internes de la 
société » (consultants). 

Y a-t-il confusion possible du champ d’application (les utilisateurs internes 
et pas les clients externes) ? 

La confusion n’est pas possible. Car le champ est clairement défini et précise 
bien que la certification concerne « les utilisateurs internes de la société ». 
À noter que cette certification pour les « utilisateurs internes » donne une 
crédibilité dans la maîtrise du référentiel ISO 20000-1:2005, crédibilité qui 
peut intéresser les clients externes de la société. 

Le quatrième exemple concerne une société qui propose un ensemble 
de services en systèmes d’information (services, plateforme, infrastructure, 
etc.) appelé « Plateforme de télétravail collaboratif » et destiné tant aux uti- 
lisateurs de la société elle-même, qu’aux sociétés partenaires et aux clients 
externes. Cette société prétend à la certification intégrée ISO 9001:2008, 
ISO 20000-1:2005 et ISO 27001:2007 de la plateforme sans préciser les 
cibles d’utilisateurs (internes, partenaires et clients). 

Est-ce pertinent ou pas ? Y a-t-il confusion possible ? 

C’est pertinent car les référentiels sont en adéquation avec la nature de 
la certification et que la même plateforme et les mêmes processus sont 
déployés pour servir les 3 cibles (interne, partenaire, client). 

Et il n’y a pas de confusion possible car il n’y a pas d’autres cibles possibles 
(à part les utilisateurs internes, les partenaires et les clients). 



□ Les conditions d’obtention 
d’une certification de systèmes 

Lorsqu’on s’engage dans une certification, on ne pense plus qu’à une chose, 
le certificat. Le précieux sésame. Il est tout d’abord important de préciser que 
l’obtention d’une certification n’est pas une fin en soi. À chaque organisme 
de définir la raison de sa certification ... et de choisir l’organisme certificateur 
en conséquence. 

-* Voir encadré pratico-pratique « Le bon choix de l’organisme 

DE CERTIFICATION DE SYSTÈME » p. 106 
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Pratico-pratique 

Le bon choix de l’organisme de certification de système 



Pour être pertinent, le choix de l'organisme de certification de système est fait selon des 
critères objectifs. Voici quelques exemples de critères par priorité décroissante : 

- la crédibilité de l'organisme certificateur. Elle dépend de la diversité et 
complémentarité des prestations, de la couverture des métiers et secteurs 
audités, de l'indépendance de l'organisme certificateur de tout activité de 
conseil y compris indirectement via une filiale, des reconnaissances mutuelles 
inter-organismes tant au niveau national qu'international. La diversité et la 
complémentarité des prestations s'expriment en terme de référentiels métier 
(qualité et ISO 9001, environnement et ISO 14001, santé et sécurité au travail 
et OHSAS 18001 ou ILO-OSH 2001, sécurité des systèmes d’information 
et ISO 27001, etc.), de référentiels sectoriels (automobile et ISO/TS 16949, 
l’agroalimentaire et ISO 22000, aéronautique et EN 9100, etc.) et de types de 
certification (système, compétences, produit, service) ; 

- la connaissance par l'organisme de certification des clients et fournisseurs des 
sociétés à auditer. Il est en effet intéressant pour un audité d’avoir le même 
organisme certificateur que ces clients, fournisseurs et principaux prospects ; 

- le processus d'évaluation des auditeurs et de sélection pour une mission. Il 
convient de s'assurer que seuls des auditeurs dûment qualifiés sont mobilisés. Et 
que la sélection est faite en fonction de la compétence plus qu'en fonction du tarif. 
Et, enfin, que l'organisme est capable de choisir les meilleures compétences en 
optimisant la charge de chaque compétence au strict nécessaire (par exemple, 
dans certains cas, il vaut mieux mobiliser un auditeur généraliste pour la durée 
de l'audit et mobiliser un expert pointu en soutien pour un jour seulement. Plutôt 
que de mobiliser un auditeur expert sur la durée de l'audit) ; 

- le volume d'auditeurs par référentiel et par localisation géographique. La 
proximité est vitale pour optimiser les frais de déplacement, et tenir compte de 
la culture locale ; 

- le volume de sociétés certifiées. Il faut être vigilant et comparer des choses 
comparables car d'un organisme à l'autre les bases de calcul sont différentes : 
certains raisonnent en nombre de sociétés, d'autres en nombre de certificats, 
d'autres encore en nombre de sites. Par exemple, si une société a deux certificats 
(ISO 9001:2008 pour la société et ISO 14001:2004 pour le site de production) 
couvrant 4 sites (siège, deux agences commerciales et un site de production), 
les volumes annoncés seront complètement différents, avec un coefficient d'un à 
cinq selon que l'on raisonne en nombre de sociétés ou en nombre de certificats 
par sites ; 

- les modalités permettant de déterminer le nombre de jours d'audit nécessaires. 
On s'intéresse ici au processus de calcul par rapport aux règles du Comité français 
d'accréditation (Cofrac) car si ce processus devrait être homogène car fixé par le 
Cofrac, la pratique peut varier d'un organisme à l'autre. On s'intéresse aussi au 
calcul de la charge et du tarif pour un cycle. Et notamment à la différenciation du 
nombre de jours sur site, hors site et déplacement. 
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Il est utile de souligner que le fonctionnement des organismes de certification est régi 
selon des règles internationales (NF EN ISO/CE1 17021 de novembre 2006 « Évaluation 
de la conformité : Exigences pour les organismes procédant à l'audit et à la certification 
de systèmes de management »). 

Il faut ensuite insister sur le fait que le rôle des salariés est vital dans 
l’obtention d’une certification (comme il l’est, avant même la certification, 
dans l’élaboration et la mise en place du système de management). Durant 
l’audit, les audités doivent donner le meilleur d’eux-mêmes. 

-» Voir encadré pratico-pratique « Les audités étaient presque parfaits » 



Pratico-pratique 

Les audités étaient presque parfaits 



Si elles sont importantes, quelle que soit la nature de l'audit (interne, seconde ou tierce 
partie), ces recommandations sont d'autant plus importantes que l'enjeu de l'audit est 
lui-même important. 

Parce qu'un audit réussi est un audit partagé, qui fait progresser et qui est accepté de 
tous, l'auditeur doit restituer l'image la plus fidèle possible de l'audité tel qu'il est d'un 
point de vue opérationnel. Or, il peut y avoir un décalage entre ce qu'est vraiment l'audité 
dans son quotidien opérationnel et l'image qu'il a restituée lors de l'audit. C’est pour 
éviter ce décalage que les audités doivent être parfaits. Pour donner le meilleur d'eux- 
mêmes et la meilleure vision de leur société. 

Alors un audité parfait, c’est quoi ? 

Pour un audité parfait, l'audit est tout sauf un examen. C'est une étape particulière dans 
un projet sans fin. C'est donner l'image la plus claire et réelle possible de son activité 
en l'espace de quelques heures. C'est se dire « je comprends ce que je fais, je me 
l'approprie et je l'explique ». 

L'audité parfait, se prépare, se prépare et se prépare ! Pourquoi ? Être audité n'est pas 
courant, ni facile, ni naturel. La préparation permet donc de donner le meilleur de soi- 
même, d’être performant et de rester « décontracté ». 

L’audité parfait établit un climat de confiance. Pour cela, il cherche à intéresser l'auditeur 
au métier et au professionnalisme de sa société. Il ne ment pas (sauf peut-être par 
omission). Il n’attend pas les questions de l'auditeur mais au contraire, les devance, 
donne du sens, explique, traite le sujet de l'audit selon la logique la plus pertinente car il 
connaît bien son métier. Il ne fait pas de rattrapages ou de retouches de dernière minute 
toujours tellement visibles. Pris en défaut, il sait reconnaître les constats d'audit car 
« faute avouée à demi pardonnée ». 

L’audité parfait se positionne en professionnel responsable. Il valorise ce qui se fait 
de bien tant sur les projets, le système de management ou encore l'organisation. Il 
argumente et étaye ses réponses de preuves pour renforcer son point de vue. Il positive 
les problèmes et ne se complaît pas dans la critique. Il sait prendre du recul, est confiant 
et convaincant. 
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L'audité parfait suscite le respect de l’auditeur. Il est ponctuel, disponible, attentif et 
concentré sur l’audit. Il reste lui-même (tout en étant positif). Il n’émet pas de réflexions 
mal placées vis-à-vis de l’auditeur, du commanditaire ou de l’audit. 

En début d’audit, l’auditeur est neutre. L’audité parfait a un comportement qui ne fait 
pas basculer cette neutralité en a priori négatifs. C'est-à-dire qu’il ne va pas tenter 
« d’embobiner » l’auditeur, ni lui faire perdre du temps, ni répondre volontairement à 
côté pour « noyer le poisson ». Il va au contraire tout faire pour conditionner positivement 
l’auditeur et générer des a priori positifs. 

L'audité sait, lorsque c'est nécessaire, recadrer l’auditeur. Ce dernier n'est pas là pour 
faire la loi et n’a pas la science infuse. L’audité parfait n'hésite pas à réexpliquer son 
point de vue, à convaincre l’auditeur et à affirmer son point de vue. En cas d’écart, il 
adhère si c'est justifié ou contre-argumente. L’audit n’est pas une mission de conseil 
mais l’auditeur doit quand même donner des explications et argumenter son point de vue 
pour que l’audité comprenne et puisse accepter les constats formulés. 

Lors de la réunion d’ouverture, l’audité parfait n’hésite pas à préciser son ressenti par 
rapport à l’audit et à donner le ton de l’audit. 

Lorsqu’il est interviewé l’audité parfait oublie les 10 % de négatif et se concentre sur les 
90 % de positif. Il ne profite pas de l’audit pour régler ses comptes avec ses collègues, 
la hiérarchie, les sous-traitants ou les clients. 

Beau programme en perspective ! 

Quoi qu’il arrive, pour un système de management mis en place avec rigueur, 
la conformité au référentiel (et donc la certification) est toujours possible. Ce 
n’est qu’une question de temps. Voici pourquoi. 

Rappelons que la certification de systèmes n’est possible que si l’audit ne révèle 
aucune non-conformité majeure (cf. classement des écarts au § 2.3 p. 65). 

Cette précision étant faite, parcourons les différents cas de figure 
possibles : 

- pas d’écart : certification immédiate ; 

- une ou plusieurs non-conformités mineures : certification immédiate. 

À noter qu’un nombre important de non-conformités mineures peut remettre 
en cause la certification immédiate en nous ramenant aux cas de non- 
conformité majeure développés ci-après : 

- au moins une non-conformité majeure de type « définition » c’est-à-dire 
par rapport à une exigence d’existence d’un document écrit comme un 
manuel ou une procédure : il suffit d’écrire le document manquant pour 
que la certification soit possible. Généralement un audit complémentaire 
documentaire hors site permet de constater que le document est 
pertinent et adéquat et la certification est accordée ; 
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- au moins une non-conformité majeure de type « application » c’est- 
à-dire par rapport à une carence de pratique. Deux cas de figure se 
présentent alors : 

- soit la pratique est bonne, elle est bien conforme aux exigences 
de la norme de référence, mais n’est pas conforme à une 
procédure interne par exemple. La non-conformité n’est plus 
recevable si la modification documentaire est faite : il suffit 
alors de créer ou mettre à jour le document. Comme dans 
le cas précédent, l’audit complémentaire documentaire hors 
site permet de constater que le document est pertinent et 
adéquat et la certification est délivrée ; 

- soit la non-conformité ne peut être levée qu’en corrigeant 
la pratique : il est alors nécessaire de former, définir ou 
ajuster un processus, réorganiser une équipe, mettre en 
service un outil. Généralement, à l’issue du plan d’action, 
un audit complémentaire sur site permet de constater que 
les pratiques sont désormais correctes. À l’issue de cet audit 
complémentaire, la certification est accordée. 

Seule dans ce dernier cas, la certification aura été un peu plus longue. La certifi- 
cation est bien accessible dans tous les cas de figure. Ce n’est qu’une question 
de temps. La certification ne doit donc pas être le challenge de l’organisme. 

-»VOIR ENCADRÉ PRATICO-PRATIQUE « L’AUDIT DE CERTIFICATION 
DE SYSTÈME VÉCU COMME UN SIMPLE JALON » p. 101 



■■La certification de service 

Nous avons pris le parti ici de ne traiter que la certification de service, plus 
spécifique, sans aborder la certification de produits. 

La prestation vendue n’est plus aujourd’hui le seul critère de sélection pour 
un consommateur. Le service qui lui est associé fait aussi la différence. La 
certification de service a donc pour objectif de définir et de faire reconnaître 
les engagements qu’un organisme s’engage à respecter et des résultats qu’il 
s’engage à atteindre vis-à-vis de ses clients ou de ses utilisateurs. 

Pour cela un référentiel de service sur mesure est élaboré selon une démar- 
che officielle et reconnue (et relativement spécifique à chaque organisme 
certificateur). Ce référentiel est soit spécifique à un métier, soit représentatif 
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d’une profession. La création de ce référentiel donne aux professionnels les 
moyens de faire reconnaître leur savoir-faire sur des engagements réels et 
reconnus. 

Les étapes de l’audit sont précédées des étapes suivantes : 

- identification des attentes ; 

- aide au choix des engagements les plus représentatifs et pertinents ; 

- validation du référentiel. 

La certification de service est : 

- une démarche innovante, source de différenciation et d’amélioration 
permanente des prestations ; 

- alternative ou complémentaire à la certification de système 
(ISO 9001 :2008, ISO 14001 :2004, ISO 20000-1 :2005, ...), elle constitue 
une étape de la stratégie de fidélisation et de développement de clientèle 
des entreprises ; 

- un outil de progrès qui mobilise l’ensemble de l’entreprise autour 
d’objectifs concrets ; 

- la garantie d’une qualité de service homogène. 

Elle s’adapte particulièrement aux organisations en réseau (franchisés, agen- 
ces, succursales, etc.), dans tous les secteurs où un service est proposé 
aux clients comme l’accueil, les délais de réponse, la fiabilité de la réponse, 
la clarté de l’offre. 

Apportons ici un retour d'expérience par rapport à quelques questions fréquemment 
posées sur la certification de service. 

À qui appartient le référentiel créé ? Par défaut, le référentiel appartient à l’organisme 
certificateur. Et la cession de la propriété du référentiel n'est plus possible depuis la mise 
en place de l'accréditation obligatoire. 

Comment officialiser le référentiel de service ? Le mécanisme d’officialisation du référentiel 
de service implique l'accréditation de l'organisme certificateur sur le référentiel concerné. 
La certification de service d'une entité ne peut être réalisée que par un organisme 
certificateur accrédité. 

Quelle promotion et valorisation du référentiel sont faites ? L'organisme certificateur assure 
la promotion régulière de la certification de service généralement sous la forme d'une 
marque. Quant au référentiel, il est généralement intégré par l'organisme certificateur 
dans une liste des référentiels en vigueur. 
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■■La certification de compétences 

Qualification ou certification, quelle différence ? Au-delà du vocabulaire (et 
sans faire de sémantique), la certification et la qualification recouvrent deux 
notions vraiment différentes. 

La certification, c’est la reconnaissance officielle de l’aptitude à réaliser 
des audits. Une reconnaissance de type « diplôme » mais qui s’inscrit sur 
une période limitée. Elle donne lieu à un certificat, qui atteste d’un niveau 
de compétences. Cette reconnaissance est indépendante de tel ou tel orga- 
nisme certificateur. Elle est possible pour tout type d’audit, que l’on souhaite 
réaliser des audits internes, seconde partie ou tierce partie. Naturellement 
les modalités de la certification et sa portée sont différentes selon la nature 
du certificat visé ( voir ci-après). Dans l’absolu, on peut être certifié et ne 
jamais réaliser d’audits. 

La qualification, c’est l’attribution d’un titre par un organisme par rapport à 
une mission donnée (par exemple, un organisme de certification va qualifier 
les auditeurs qui interviendront pour son compte lors des audits tierce par- 
tie). Au-delà de leur certification d’auditeur, pour être qualifié les auditeurs 
doivent répondre à d’autres exigences comme par exemple des clauses 
d’exclusivité. Par contre un organisme va qualifier ses auditeurs internes 
sur des critères moins stricts. On peut être qualifié « auditeur » sans pour 
autant avoir été certifié. 

Que ce soit pour une qualification ou une certification de compétences, il 
est nécessaire d’évaluer cette compétence. Cette évaluation s’opère par 
différents moyens. Tous les moyens ne sont pas forcément et systémati- 
quement utilisés. 

Chaque organisme définit donc les moyens d’évaluation qui sont pertinents 
pour lui et selon ses besoins. Ces moyens peuvent être par exemple : 

- examen et test écrit ; 

- tests de personnalité ; 

- entretien ; 

- échanges avec des employeurs précédents, des collègues, etc. ; 

- mises en situations et jeux de rôle ; 

- observation dans des conditions réelles d’audit ; 

- dossier de formation ; 
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- évaluation et réclamations par les pairs, les audités ou les 
commanditaires ; 

- diplômes, attestations, curriculum vitæ. 

Le processus d’évaluation s’appuie sur différentes étapes, habituellement 
dans l’ordre chronologique suivant : 

- examen d’un dossier de candidature et vérification de la conformité aux 
critères de recevabilité (par exemple, l’ISO 19011:2002 propose des 
critères « quantitatifs », tels que les années d’expérience professionnelle 
et de formation, les audits réalisés, les heures de formation à l’audit, ou 
qualitatifs, tels que la démonstration lors de formations ou sur le lieu du 
travail, des qualités personnelles, des connaissances, ou de la mise en 
œuvre des aptitudes) ; 

- examens écrits comme l’analyse de manuel ou plan ou bien tests de 
classement d’écart ; 

- tests de personnalité et d’adéquation de profil ; 

- examen oral ; 

- expérience pratique minimale mesurée par exemple par l’analyse des 
relevés d’audits, de rapports d’audit ou de rapport de pairs ; 

- vérification de l’engagement au respect de codes et règles par exemple 
un code de déontologie, un guide et des procédures d’audit, un 
engagement de confidentialité. 

Rappelons que l’ISO 19011:2002 détaille le processus d’évaluation des 
auditeurs. 

-» Voir encadré pratico-pratique « Le profil des auditeurs selon l’ISO 19011:2002 » 

La remise du certificat ou qualification est toujours précédée d’un examen 
complet du dossier. Le certificat est généralement accordé pour une 
durée de trois ans. La qualification quant à elle, peut être délivrée pour 
la durée d’une mission. Il peut arriver que certains certificats ou qualifica- 
tions soient délivrés à l’instant t sans durée de validité et sans exigences 
de suivi ou de renouvellement. En tant que client, commanditaire ou 
même audité, il peut être utile de s’intéresser aux dates d’obtention et 
aux conditions de suivi. 

Suite aux examens présentés ci-avant, cette qualification ou certification 
nécessite de la faire attester par un comité d’évaluation d’au moins deux 
membres dont la nature dépend de la nature de l’audit (cf. tableau 4. 1). 
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Tableau 4.1 Nature du comité d’évaluation selon la nature de l'audit 



Nature de l’audit 


Exemple de nature de comité d’évaluation 


Audit interne 


Direction de l’organisme 
Expert 


Audit seconde partie 


Représentant du commanditaire (client) 
Expert 


Audit tierce partie 


Comité de l'organisme de certification de compétence 
(comme par exemple ICA ou IRCA) 



La certification (ou qualification) nécessite aussi d’être maintenue pendant la 
période de validité et d’être renouvelée à la fin de cycle de validité. Autrement 
dit, le rythme « évaluation initiale, suivi et renouvellement » est identique à 
celui d’une certification de système. Le maintien et le renouvellement sont un 
gage de crédibilité. Le processus de maintien et renouvellement est similaire 
au processus initial décrit précédemment mais de plus en plus simplifié au fil 
des cycles. Sachant que cette simplification peut être remise en cause, par 
exemple dans le cas de réclamations ou d’absence de pratique. 
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« La théorie c’est quand on sait tout et que rien ne fonctionne. La pratique c’est quand tout 
fonctionne et que personne ne sait pourquoi. 

Albert Einstein 

Il s’agit ici d’apporter des compléments pour être encore plus pratique. Être 
plus pratique, c’est être plus rapide en gérant son temps et ses priorités, 
plus innovant, plus performant. 

Chacun de ces thèmes mériterait un ouvrage à lui seul. Le but n’est pas 
ici de développer chaque thème. Ça ne serait d’ailleurs pas le plus utile. 
L’intérêt, pour maximiser la valeur ajoutée et le côté pratique, est de combiner 
les recommandations de chacun de ces thèmes. Autrement dit, inutile de 
devenir un professionnel de la gestion du temps et de négliger l’innovation 
ou la performance. 

■■ Les plus pour être encore plus rapide 

Pour être encore plus rapide, il faut gagner du temps et gérer ses priorités, 
être organisé et avoir le bon auditeur au bon moment. 

□ Gagner du temps et gérer ses priorités 

Commençons par rappeler que pour gagner du temps, il faut éviter d’en 
perdre (cf. chapitre 3). 

Ensuite, il faut avoir conscience que la gestion du temps, c’est déjà une 
question de principes. L’auditeur doit intégrer ces principes de façon de plus 
en plus naturelle. Très rapidement, ils doivent faire partie des caractéristiques 
intrinsèques de tout auditeur. Voici quelques-uns de ces principes : « Avant 
l’heure, ce n’est pas l’heure. Après l’heure, ce n’est plus l’heure », ponctualité 
(prévenir en cas de retard), dimension collective du temps, une question 
de culture (selon le pays, la relation au temps est différente). Concernant la 
« dimension collective du temps », elle part du principe que notre temps est 
celui des autres. Car en audit, on dépend toujours des autres, qu’ils soient 



117 




Pratiquer l'audit à valeur ajoutée 



auditeurs ou membres de l’équipe d’audit. Gérer son temps, c’est donc trouver 
un compromis entre ses propres priorités et contraintes et celles des autres. 

Il est également utile, pour bien maîtriser son temps et ses priorités, de 
percevoir quelques tendances naturelles du temps : 

- le temps prend la place qu’on lui accorde. Autrement dit, le temps 
se dilate jusqu’à occuper la totalité du temps disponible. Il faut donc 
maîtriser son temps et ne ‘pas le subir ; 

- la gestion des imprévus fait partie intégrante de la gestion du temps. 
Car rien n’est aussi simple qu’on l’imaginait au départ. Et la planification 
n’empêche pas les imprévus ; 

- le temps perdu à gérer une interruption est plus long que la durée de 
l’interruption ; 

- la loi de Pareto appelée aussi loi des 80/20 est applicable aux activités 
de l’audit (notamment lors des échantillonnages de processus, activités, 
sites, projets) ; 

- l’indécision prend du temps. 

En ce qui concerne la gestion des priorités, comme il n’a jamais assez 
de temps, l’auditeur réévalue ses priorités en permanence tout au long du 
processus d’audit. Il le fait en tenant compte de paramètres comme les 
risques, des observations précédentes de l’audit en cours, le résultat des 
audits précédents ou encore le plan des précédents audits. 

□ Adapter le processus classique d’audit 

Pour être plus rapide, on peut, avec de l’organisation, adapter le processus 
d’audit classique vu précédemment (cf. § 2.2 p. 39). 

Voici deux exemples d’adaptation possible : 

- L’auditeur peut renforcer l’étape de revue préalable documentaire pour 
alléger l’audit terrain sur site. Lors de l’audit préalable documentaire, 
au-delà des tâches à réaliser tel que précisé au paragraphe 2.2.4 p. 53, 
l’auditeur capte au mieux les attentes, impératifs et autres priorités de 
l’organisme. Et identifie son état actuel par rapport à l’ensemble des 
thèmes. Ce qui lui permet de proposer un audit sur site optimisé (en 
durée et charge tant pour l’équipe d’audit que pour les audités). 

- L’audit terrain sur site peut aussi être optimisé pour être plus rapide en 
mobilisant une équipe d’audit composée d’un seul auditeur appuyé de 
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plus d’auditeurs et experts à distance. L’auditeur principal sur site a un 
profil de type « patron de société » capable d’analyser un très grand 
nombre de thématiques, avec efficience et avec une forte capacité à 
déléguer, coordonner et mobiliser. 



□ Avoir le bon auditeur au bon moment 

Pour être encore plus rapide, il faut pouvoir mobiliser le bon auditeur au 
bon moment. Nous avons déjà vu que pour être méthodique, la planifi- 
cation de l’audit permettait de planifier le bon auditeur au bon moment au 
bon endroit. 

Voyons ici deux compléments possibles sur la manière de faire, schématisés 
par la figure 5.1 : 

Auditeurs intervenant sur site pour tout 
ou partie des thèmes 



Experts consultables à distance sur une 
thématique précise donnée 

Figure 5.1 La composition de l’équipe d’audit pour être plus rapide 
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- Le bon auditeurau bon moment, c’est mobiliser les auditeurs compétents et 
intervenant sur site pour les thèmes prévus au plan d’audit. Ces auditeurs 
sont sélectionnés sur leur parfaite maîtrise du processus d’audit et leur forte 
connaissance du contexte, du référentiel, du métier en lien avec l’audit. Ils 
sont donc familiarisés avec l’audit concerné. Ces auditeurs n’ont pas de 
préparation particulière à faire. Le responsable d’audit leur transmet le plan 
d’audit, un ordre de mission ciblé et le compte rendu d’analyse préalable. 
En retour, ces auditeurs remettent un rapport d’audit partiel. 

- Le bon auditeur au bon moment, c’est aussi faire intervenir pour mission 
ponctuelle, les experts consultables à distance sur une thématique 
précise donnée. Ces experts sont sélectionnés uniquement sur la base 
de leur forte capacité d’expertise. Le responsable d’audit leur transmet 
un ordre de mission ciblé, accompagné de l’extrait du référentiel 
concerné. En retour, ces experts remettent un rapport d’expertise. 

■■ Les plus pour être innovant 

Il ne s’agit pas d’être innovant sur la manière de pratiquer l’audit. Ce dernier 
est un processus méthodique, clairement défini et maîtrisé (tel que nous 
l’avons vu en partie I de cet ouvrage). Il s’agit plutôt d’être innovant pour 
apporter un maximum de valeur ajoutée dans les conclusions et restitutions 
de l’audit. Et, dans ce sens, il n’est pas facile d’être innovant par rapport à 
un organisme audité qui connaît parfaitement son sujet alors que l’équipe 
d’audit n’a, elle, que quelques heures à y consacrer. Quelques techniques 
existent pourtant. Nous en présenterons cinq : la base de connaissance, la 
base d’experts, la boîte à outils, la fertilisation croisée et enfin la veille. 

□ La base de connaissance 

L’auditeur innovant dispose d’une base de connaissance ou a au moins 
accès à une telle base. 

-» Voir encadré pratico-pratique « La constitution d’une base de connaissance » 

Cette base contient par exemple des retours d’expérience, des synthèses 
thématiques, des enregistrements de veilles, des références d’outils, des 
modèles, des informations sur les sociétés, des contacts. Le tout structurés 
par métiers techniques comme l’électronique ou la chimie, par métiers fonc- 
tionnels comme la qualité ou la formation, par secteurs comme l’automobile 
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ou la banque ; par fonction comme la fonction commerciale ou production ; et 
enfin par pays. Peu importe la nature de la structure choisie, le plus important 
est que cette structure soit commune et partagée par tous les utilisateurs. 



Pratico-pratique 

La constitution d’une base de connaissance 



Une base de connaissance permet de conserver toutes les connaissances acquises dont 
l'auditeur peut avoir à nouveau besoin lors d'un nouvel audit. Ceci lui permet d'être innovant 
et d'apporter de la valeur ajoutée dans ses conclusions et ses restitutions d'audit. 

La base de capitalisation présente plusieurs intérêts : 

- de pouvoir accéder aux meilleures pratiques à chaque étape du processus d'audit ; 

- de mettre à disposition des pratiques et informations homogènes de tous ceux 
qui partagent la base. Homogénéité ainsi assurée d'un audit à l'autre et d’un 
auditeur à l'autre ; 

- de faciliter les analyses comparatives d'un audit à l'autre. Comme par exemple, 
l'étalonnage des fournisseurs d'un même client, la comparaison de sociétés d'un 
même secteur ; 

- d'avoir une démarche plus efficiente. En ne se posant pas les mêmes questions 
que d'autres se sont déjà posées. En ne se remettant pas en cause en cours de 
mission avec des questions du type « ai-je fait le bon choix ? » ; 

- d'être plus structuré et mieux organisé. 

Il est important de bien définir les points suivants avant d'alimenter sa base : 

- la structure de classement. Faut-il classer par métiers, par secteurs économiques, 
par nature d’audit, par société, par fonction, par région géographique ? L’idéal 
étant de pouvoir classer les informations selon plusieurs de ces axes ; 

- les droits d'accès. Faut-il permettre l'accès aux seuls contributeurs, à tous les 
auditeurs ou à toutes les parties prenantes intéressées ? Par expérience, pour 
éviter les dérives et respecter le droit à en connaître, il vaut mieux accorder des 
droits aux seuls contributeurs ; 

- l'accessibilité. Faut-il permettre un accès à la base uniquement en local ou bien 
à distance (nomade) ou encore à partir de sites identifiés ? Par expérience, c'est 
la sécurité de l’information qu'il faut avant tout privilégier. Cette sécurité étant 
préservée, on permettra une accessibilité la plus large possible ; 

- la culture de capitalisation et de partage. C’est un point vital pour que la base 
perdure. Il faut s'assurer que les acteurs ayant accès à la base sont bien dans 
une culture d'intelligence collective. 

Selon Olivier Zara, « l'intelligence collective peut se définir comme la capacité à unir nos 
intelligences et nos connaissances pour atteindre un objectif ainsi que la capacité d'un 
collectif à se poser des questions et à chercher les réponses ensemble » (voir Olivier 
Zara, « management de l'intelligence collective, vers une nouvelle gouvernance », M21 
éditions, juin 2008). 

Les modèles, check-list, questionnaires, retours d'expérience et conseils présentés dans cet 
ouvrage peuvent déjà constituer les prémisses de la base de connaissance de chacun. 
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□ La base d’experts 

L’auditeur innovant possède une base d’experts dont il fait lui-même bien 
évidemment partie. 

-♦Voir encadré pratico-pratique « La constitution d’une base d’experts » 

Cette base recense les acteurs qu’ils soient auditeurs, experts techniques, 
experts du processus d’audit, etc. Pour chaque acteur, les informations rela- 
tives à ses compétences, qualifications, certifications et connaissances sont 
présentées. De même que les informations plus personnelles comme les 
coordonnées pour le joindre, ses types d’interventions possibles, sa locali- 
sation. Cette base possède la même structure que la base de connaissance 
présentée ci-avant. 



Pratico-pratique 

La constitution d’une base d’experts 



Une base d’experts permet de connaître les experts disponibles dont l’auditeur peut avoir 
besoin lors d'un audit. Ceci lui permet d'être innovant et apporteur de valeur ajoutée en 
s'appuyant sur la meilleure expertise possible pour confirmer un point de vue, consolider 
une observation, valider une conclusion, avoir des idées de solutions ou de pistes de 
progrès. 

D’après notre expérience, une base d’expertise recense les acteurs en trois niveaux : 

- le niveau 1 regroupe ses experts-partenaires « proches ». C'est-à-dire ceux 
avec lesquels l’auditeur a avant tout une proximité de valeurs et de mode de 
fonctionnement. Puis une proximité géographique. Ils participent au processus 
de capitalisation ; 

- le niveau 2 regroupe les experts-partenaires du réseau. Ils partagent également 
des mêmes valeurs mais les relations sont un peu moins fortes dues par exemple 
à l’éloignement géographique, à l’éloignement de compétences ou de centres 
d’intérêt ? Ils participent également au processus de capitalisation ; 

- le niveau 3 recense le réseau « externe ». Les acteurs de ce réseau ne sont 
pas directement impliqués dans le processus de capitalisation du réseau. Ils en 
partagent néanmoins les méthodes et certaines valeurs. 

L’auditeur innovant sollicite en priorité le niveau 1 puis le 2 et enfin le 3. 

Complétons cette notion de base d’experts en apportant quelques compléments sur la 
notion de réseau évoquée dans les lignes précédentes. 

Le réseau tel qu’évoqué ici peut être un réseau organisationnel (association, club sportif, 
entreprise, etc.) ? un réseau social (ami, famille, voisin, etc.) ? ou encore un cyber- 
réseau (liste de diffusion, newsletter, linked-in, facebook, viadeo,...). Ce réseau peut 
regrouper un ensemble de personnes liées par une histoire et des valeurs, ou bien un 
groupe social qui partage un même territoire ou encore un groupe qui possède une 
même dénomination. 
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□ La boîte à outils 

L’auditeur innovant possède sa boîte à outils contenant des matrices d’audit 
type avec retours d’expérience sur les interprétations possibles de telle ou 
telle exigence (cf. encadré pratico-pratique « Le supportée questionnement 
en images » p. 50), des plans d’audit type intégrant des timing type en fonc- 
tion du contexte, des modèles de rapport d’audit intégrant des consignes de 
rédaction mais aussi les phrases de transition, des check-lists de points qui 
peuvent faire l’objet de points forts ou de pistes de progrès. 

Plus cette boîte à outils est constituée rapidement et plus elle est riche 
de retours d’expérience. Si de plus, elle est constituée en communauté et 
partagée entre acteurs de la communauté, elle sera encore plus susceptible 
d’apporter de la valeur ajoutée et de l’innovation. 



□ La fertilisation croisée 

L’auditeur innovant pratique la fertilisation croisée, c’est-à-dire qu’au-delà 
d’interagir avec d’autres acteurs dans le cadre de ses missions d’audit, il 
entretient des relations privilégiées avec d’autres experts, il participe à des 
conférences ou à des forums d’auditeurs, il intervient dans des groupes de 
travail par domaine d’expertise. 

Certains organismes de certification réunissent deux fois par an tous les 
auditeurs qu’ils ont qualifiés pour partager les pratiques, échanger de 
l’information, remettre à niveau la communauté, réaliser des exercices 
d’étalonnage entre auditeurs, permettre à chaque auditeur de se confronter 
au point de vue d’autres auditeurs. 



□ La veille 

L’auditeur innovant pratique la veille parce que le monde bouge, ce qui 
est vrai, performant ou innovant aujourd’hui peut très bien ne plus l’être 
demain. Il est donc nécessaire de réaliser une veille technique, technologique, 
stratégique ou économique. 

Cette veille est effectuée à chaque occasion et donc pas forcément 
couplée au processus d’audit. De plus, elle sera d’autant plus complète et 
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efficiente qu’elle sera couplée à la base de capitalisation et partagée avec 
sa communauté d’experts. 

La veille porte sur toutes les dimensions qui peuvent intéresser l’audit à 
savoir les métiers, les secteurs économiques, le contenu de la boîte à outils, 
la culture régionale, les sociétés certifiées, les référentiels, les organismes 
certificateurs, les auditeurs certifiés, etc. 

■■ Les plus pour mesurer la performance 

Il faut d’abord préciser que la mesure de la performance est pratiquée 
uniquement si elle fait partie de l’objectif de l’audit. Ce n’est donc pas 
systématique. Néanmoins, il est toujours intéressant pour un organisme 
d’avoir une idée de sa performance vu par un tiers indépendant. Donc, sans 
mettre en cause la mission d’audit, et si c’est possible, cette mesure de la 
performance peut être faite. Elle apporte encore plus de valeur ajoutée à 
l’audit. Elle est par exemple restituée sous forme de pistes de progrès ou 
tout autre forme d’observations « hors référentiel ». 

Plusieurs méthodes s’intéressent la performance sous un angle ou sous un 
autre (prix de l’excellence, maturité, théorie des contraintes, analyse de la 
chaîne critique, six-sigma, balanced scorecard, etc.). Nous ne développerons 
pas ici ces méthodes. Nous livrons quelques retours d’expérience faciles et 
simple à mettre en œuvre : mesure de performance vs efficacité vs efficience, 
mesure de maturité et mesure du niveau d’intégration système. 

□ Notions de performance, efficacité et efficience 

Intéressons-nous tout d’abord à la performance, l’efficacité et l’efficience, 
ces notions étant importantes pour émettre les observations les plus justes 
possibles. La performance correspond à un résultat remarquable obtenu 
dans la réalisation d’une tâche en regard des moyens mobilisés. L’efficacité 
fait quant à elle intervenir la notion d’objectif. Le niveau atteint dans la réa- 
lisation d’une tâche est mesuré en fonction d’objectifs que l’on s’est fixés 
préalablement. À cette efficacité, l’efficience ajoute la notion d’optimisation 
des moyens mobilisés. La figure 5.2 illustre ces différentes notions. 

Pour mesurer la performance, l’auditeur s’intéresse au suivi d’indicateurs 
dans le temps, à leurévolution et les compare à des indicateurs de contextes 
comparables. 
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Objectifs 




Pour mesurer l’efficacité, l’auditeur identifie les écarts entre les résultats 
obtenus et les objectifs que l’organisme s’est fixés. 

Pour mesurer l’efficience, l’auditeur mesure l’efficacité ainsi que l’énergie consa- 
crée à l’atteinte du résultat et la pertinence des moyens mis en œuvre. 



□ Mesure de la performance sous l’angle de la maturité 

En prenant les deux exemples de la méthode Radar ( Results andApproach, 
Deployment, Assessment, Review) du modèle EFQM et des niveaux de 
maturité du modèle CMMI. 

Le modèle de reconnaissance de l’excellence de La Fondation européenne 
pour le management par la qualité ( European Foundation for Quality 
Management, EFQM®) comporte trois degrés : 

- I. le prix EFQM de l’excellence ou EFQM excellence award (EEA) ; 

- II. la reconnaissance de l’excellence basée sur l’intégralité du modèle, 
et qui permet aux candidats de profiter d’une approche structurée pour 
identifier leurs forces et domaines d’amélioration. Il reconnaît le succès 
des efforts pour implémenter l’excellence et les bonnes pratiques ; 

- III. l’engagement vers l’excellence conçu pour les organismes qui se 
situent au début de leur chemin vers l’excellence. On y insiste sur l’aide 
apportée aux organisations pour comprendre leur niveau présent de 
performance, et pour établir les priorités d’amélioration. 
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Le modèle s’appuie sur la définition des neuf critères et sous critères regrou- 
pés en deux sortes : les critères « moyens » et les critères « résultats ». 
La logique Radar se situe au cœur même du modèle. Ses éléments sont 
les « résultats », l’« approche », le « déploiement », l’« évaluation » et la 
« revue. » L’élément « résultats » entre en jeu lors de l’évaluation des critères 
« résultats ». Les éléments « approche », « déploiement », « évaluation » et 
« revue » lors de l’évaluation des critères « moyens ». 

Les cinq niveaux de maturité du modèle CMMI sont également un bon 
exemple de mesure de maturité (cf. § 2.3 p. 65). 



□ Mesure du niveau d’intégration système 

Analysons un dernier retour d’expérience pour mesurer la performance, à 
savoir la mesure du niveau d’intégration des systèmes. Dans les faits, il est 
fréquent de constater qu’un organisme est composé de plusieurs systèmes : 
un système de pilotage financier, un système de pilotage opérationnel, un 
système qualité et bien d’autres. Plus ses systèmes sont intégrés et plus 
l’organisme est performant. Cette intégration peut donc se mesurer selon 
deux axes : l’alignement des systèmes à la stratégie de l’organisme (aligne- 
ment stratégique) et l’intégration des systèmes entre eux. 

L’alignement stratégique consiste à mesurer la cohérence des différents 
systèmes de l’organisme par rapport à la stratégie de cet organisme. Cette 
cohérence existe par exemple lorsque la stratégie a été déclinée en processus 
à tous les niveaux de l’organisme. 

-►Voir encadré pratico-pratique 
« La déclinaison de la stratégie en processus » 
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Pratico-pratique 

La déclinaison de la stratégie en processus 



Prenons ici un exemple simplifié d'alignement des processus d'un organisme avec sa 
stratégie. Il y a alignement des processus d'un organisme avec sa stratégie lorsque la 
stratégie a été déclinée en processus à tous les niveaux de l'organisme. La cohérence 
d'ensemble est alors assurée. 

Par exemple si la stratégie de l'organisme est « d'être rentable sur la durée ». Cette 
stratégie se déclinerait comme suit : 

- avoir une approche pragmatique : fait appel au processus « management de la 
performance » ; 

- avoir des moyens, des investissements et des frais efficients. Se redécline en : 

• réutiliser les bonnes pratiques : fait appel au processus « management de 
la performance » ; 

• optimiser les frais : fait appel au processus « gestion des achats » ; 

• optimiser la prospection : fait appel au processus « avant-vente ». 

- proposer des solutions à valeur ajoutée (aux clients partenaires, au marché, 
etc.). Se redécline en : 

- être reconnu : fait appel au processus « management de la performance » 

• se faire connaître : fait appel au processus « avant-vente » ; 

• avoir une offre complète : fait appel au processus « avant-vente » ; 

• avoir une offre cohérente et adaptée : fait appel au processus 
« stratégie » ; 

• fonctionner en mode projet : fait appel au processus « projet client ». 

- suivre les résultats : fait appel au processus « pilotage ». 

Cette déclinaison permettrait d'aboutir à la liste des processus suivante : 

- processus « management de la performance » incluant des activités du type 
gestion et capitalisation des informations, audits, gestion des documents et 
procédures, etc. ; 

- processus « gestion des achats » incluant des activités du type gestion des 
achats, gestion des frais, évaluation et sélection des fournisseurs et sous- 
traitants, etc. ; 

- processus « avant-vente » incluant des activités du type prospection, valorisation 
et promotion savoir-faire, identification des cibles et marché, etc. ; 

- processus « stratégie » incluant des activités du type positionnement, étude 
économique, atouts différenciant, communication, etc. 

- processus « projet client » incluant des activités du type qualification des besoins 
et attentes, contractualisation, lancement de projet, suivi et avancement, fin de 
projet, facturation, etc. ; 

- processus « pilotage » incluant des activités du type planification, reporting 
opérationnel et financier, revue, etc. 

Cette liste serait ensuite complétée avec les interactions entre processus pour donner 
lieu à la cartographie du seul et unique système de l'organisme assurant à la fois la 
cohérence des processus entre eux et l'alignement de ces processus avec la stratégie. 
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Sans être un spécialiste, l’auditeur s’intéresse à l’existence puis à la 
pertinence d’une telle déclinaison. 

L’intégration des systèmes entre eux consiste à analyser l’organisme et à 
mesurer les zones de recouvrement des différents systèmes existants ainsi 
que les zones qui ne sont couvertes par aucun système. L’idéal étant de 
constater qu’il existe un seul et unique système couvrant tous les métiers, 
secteurs, localisations, processus de l’organisme (cf. figure 5.3). 





Reporting 

Contrôle 


pilotage 


de gestion 





Idéal, 

systèmes parfaitement intégrés 

Figure 5.3 L’intégration des systèmes au sein d’un organisme 
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« L’homme raisonnable s’adapte au monde ; l’homme déraisonnable s’obstine à essayer 
d’adapter le monde à lui-même. Tout progrès dépend donc de l’homme déraisonnable. » 

George Bernard Shaw 

L’audit à valeur ajoutée a été défini et affiné au fil des chapitres précédents. 
Nous avons, à plusieurs reprises, vu la nécessité d’adapter, ajuster, tenir 
compte du contexte. Et de plus, nous avons analysé les moyens d’y parvenir. 
Mais, au quotidien, l’auditeur va rencontrer des situations particulières ou 
spécifiques. Sans être exhaustif, il nous a paru utile d’évoquer quelques 
situations caractéristiques et représentatives et d’y apporter quelques 
éléments de réponse. 

Les situations particulières évoquées ci-après sont : l’audit comptable ou 
financier, l’audit de gouvernance des systèmes d’information, le cahier des 
charges type pour un audit de systèmes d’information, l’audit de projet, l’audit 
de fournisseurs et sous-traitants, l’audit de structures complexes ou encore 
l’audit à l’international. 



■■ L’audit comptable ou financier 

Pour traiter ce point, nous nous sommes appuyés sur nos propres retours 
d’expérience, en tant qu’auditeur et en tant qu’audité. Expériences consoli- 
dées par le savoir-faire de commissaires aux comptes et les préconisations 
de divers dossiers relatifs à « la mission de commissaire aux comptes dans 
les PME ». 

L’audit comptable ou financier de type audit des commissaires aux comptes 
(CaC) s’apparenterait le plus à un audit de certification (tierce partie) avec des 
exigences légales plus fortes et un engagement plus fort de la responsabilité 
de « l’auditeur » (qui est ici, le commissaire aux comptes). 

Nous nous sommes efforcés tout au long de ce paragraphe d’identifier les 
particularités des audits de CaC, qui se différencient de celles de l’audit à 
valeurajoutée tel que présenté en première partie. Pour bien comprendre ces 
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différences, il est utile de bien avoir assimilé les caractéristiques de l’audit à 
valeurajoutée telles que décrites précédemment. Ce qui est intéressant dans 
l’analyse de ces spécificités, c’estde voiren quoi elles peuvent être utiles pour 
apporter toujours plus de valeur ajoutée à notre propre processus d’audit. 

Les thématiques les plus significatives et utiles pour illustrer ces particu- 
larités et différences, que nous allons développer ci-après, concernent la 
nomination du commissaire aux comptes, les conditions d’exercice de la 
mission, la conduite de la mission, les travaux liés au contrôle des comptes 
annuels, les travaux de finalisation de la mission de contrôle des comptes, 
la procédure de revue du dossier et le rapport général. 



□ La nomination du commissaire aux comptes 

Le commissaire aux comptes doit avoir les compétences techniques et 
morales, être qualifié, être inscrit sur une liste officielle, être indépendant, 
respecter le cadre légal et le code de déontologie. Il est rémunéré pour son 
mandat avec une fixation libre du tarif des vacations horaires. 

Les particularités concernent les points suivants : 

- le CaC est nommé en assemblée générale pour une durée de six 
exercices ; 

- il déroule un questionnaire d’acceptation de la mission ; 

- sa rémunération est adaptée à la complexité des travaux selon un 
barème réglementaire des heures de travail en fonction du montant 
total du bilan ; 

- sa nomination est soumise à un formalisme de publicité. 



□ Les conditions d’exercice de la mission 

Le CaC doit être en mesure de démontrer son indépendance. Il est assu- 
jetti au secret professionnel et ne doit pas s’immiscer dans la gestion de 
l’organisme. Il respecte des normes d’exercice professionnel et des bonnes 
pratiques professionnelles. 

Les particularités concernent les points suivants : 

- les normes d’exercice professionnel sont uniques et identifiées par le 
Haut Conseil du CaC (H3C) ; 
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- le référentiel est « imposé » parla Compagnie nationale des commissaires 
aux comptes (CNCC). L’audit des commissaires aux comptes est 
régi par les normes NEP-315 « Connaissance de l’entité et de son 
environnement et évaluation du risque d’anomalies significatives dans 
les comptes » et NEP-330 « Procédures d’audit mises en œuvre par 
le commissaire aux comptes à l’issue de son évaluation des risques ». 
Ces normes sont homologuées par arrêté du 19 juillet 2006 publié au 
JO n° 176 du 1 er août 2006; 

- le CaC est assujetti à une procédure d’alerte auprès du Tribunal de 
commerce en cas de risque de non-continuité de l’exploitation de 
l’organisme audité ; 

- en terme de responsabilités, le CaC a, comme tout auditeur « classique » 
une obligation de moyens et non de résultat. Mais au-delà de cette 
obligation de moyen, il a une responsabilité civile, une responsabilité 
pénale ainsi qu’une responsabilité disciplinaire ! 

□ La conduite de la mission 

En ce qui concerne la conduite de la mission, il n’y a pas vraiment de 
spécificités. La mission se déroule selon le schéma classique avec un 
cadrage et un formalisme plus précis en lien avec le contexte de l’audit 
comptable et financier. 

La mission démarre tout d’abord par une prise de connaissance générale 
de l’organisme audité. Avec un zoom particulier sur l’environnement 
réglementaire, la composition du capital, la politique d’investissement, les 
financements, les indicateurs de performance financière. 

Lors de cette étape, le CaC s’intéresse utilement à l’environnement de 
contrôle, l’analyse de risque, les procédures de contrôle interne. Le système 
d’information financier est également une source d’information précieuse 
(cf. §6.2.2 « La contribution des systèmes d’information à l’audit “comptable 
et financier” » p. 139). Et une expertise technique est souvent mobilisée pour 
analyser ce système d’information. 

Le CaC déroule généralement une approche par les risques permettant 
d’axer les contrôles sur les points susceptibles de compromettre la qualité 
de l’information financière donnée. 

La planification des travaux est formalisée dans un plan de mission et un 
programme de travail. Le plan de mission présente l’approche générale des 
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travaux d’audit, à savoir l’étendue de la mission et son calendrier, les seuils 
de significations retenus ainsi que les lignes directrices pour préparer le 
programme de travail. Ce dernier contient, quant à lui, l’étendue et le calen- 
drier des diligences estimées nécessaires, le nombre d’heures de travail, 
les honoraires, etc. Ce programme est modifiable en cours de mission selon 
des circonstances à préciser dans le programme. 

L’audit est confirmé par une lettre de mission préalable aux travaux d’audit 
proprement dits. Cette lettre contient la nature et étendue des interventions, 
le mode de communication des conclusions, les conditions d’accès sans 
restriction aux documents, etc. 



□ Les travaux liés au contrôle des comptes annuels 

Les travaux liés au contrôle des comptes annuels s’apparentent à l’aud itpropre- 
mentdit. Ilss’appuienttoutd’abordsurdestestsde procédure. Ces tests visent 
à démontrer le bon fonctionnement des contrôles de l’organisme, à réaliser 
des observations physiques de l’application des procédures, ou bien même à 
réexécuter certains contrôles. Le contrôle des comptes s’appuie également sur 
destestsdesubstancepourdétecterlesanomaliessignificativesauniveaudes 
assertions. Ces tests incluent des tests de détail, l’examen d’enregistrements, 
des contrôles physiques, etc. Enfin, les comptes sont contrôlés par « l’audit des 
comptes» proprementditsïntéressanttantauxinformationsde l'organisme lui- 
même qu’à tous travauxde tiers susceptibles d’intéresser la mission comme par 
exemple les clients, les fournisseurs, les banques, les avocats, les assureurs, 
sous réservedu respect du secretprofessionnelpourceuxquiyseraienttenus. 
Le CaC utilise des moyens d’investigation classiques du type inspection des 
enregistrements, inspection des actifs, observation physique, demande d’infor- 
mation, demande de confirmation aux tiers, vérification de calcul, réexécution 
de contrôles, analyse de procédures analytiques, interview. 

Les travaux effectués sont consignés dans le dossier de travail composé 
essentiellement de deux parties : une partie permanente et une partie relative 
à l’exercice. 

La principale particularité sur laquelle il est intéressant d’insister pour 
cette étape concerne la mise en oeuvre de moyens en rapport avec les 
risques identifiés. C’est-à-dire que la détection de risques ou d’anomalies 
significatives au niveau des comptes, même identifiés en cours de mission, 
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permet l’affectation de collaborateurs plus expérimentés, le recours à des 
experts supplémentaires ou bien le renfort de la supervision des travaux, ou 
encore la modification de la nature, du calendrier ou des procédures d’audit ! 
On sent bien ici que la responsabilité plus forte que prend le CaC sur ce type 
de mission lui permet de mobiliser tous les moyens qu’il estime nécessaires 
pour conduire à bien sa mission. 



□ Les travaux de finalisation de la mission 
de contrôle des comptes 

Ces travaux sont complètement spécifiques à l’audit de CaC. En effet, pourun 
audit classique tel que décrit en première partie, l’auditeur n’a pas à produire 
d’attestation . Le CaC quant à lui , doit effectuer des vérifications spécifiques et 
des contrôlesjuridiquesl’amenantà produire différentes attestations et conclu- 
sions par exemple sur les événements post-clôture, le rapport de gestion, les 
conventions réglementées, les rémunérations en vigueur au sein de l’orga- 
nisme audité, les dépenses de mécénat, l’obligation de détention d’actions ou 
encore sur la communication aux actionnaires des documents annuels. De 
plus, il doit obtenir par une « lettre d’affirmation », établie au plus proche de la 
date de signature du rapport, une déclaration de la direction qui récapitule ou 
complète par écrit les informations données en cours de mission. 

□ La procédure de revue du dossier 

En ce qui concerne la procédure de revue du dossier, elle est similaire au 
travail du responsable d’audit bien que plus formalisée. Le chef de mission et 
le CaC effectuent la revue des travaux réalisés par chaque collaborateur et 
vérifient par exemple que les travaux réalisés sont conformes au programme 
de travail, que l’argumentation est suffisante ou encore que les objectifs sont 
atteints. La note de synthèse regroupe les éléments significatifs qui auront 
une incidence sur l’opinion à émettre. 

□ Le rapport général 

En ce qui concerne le rapport général, il contient de façon assez classique 
l’intitulé de la mission, une introduction générale, un corps en trois parties 
traitant de « l’opinion sur les comptes annuels », de la « justification des 
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appréciations » et des « vérifications et informations spécifiques ». Les 
conclusions possibles sont limitées à trois cas : certification sans réserve, 
certification avec réserves et refus de certification. 

Ce rapport général présente néanmoins deux particularités majeures : 

- il répond à un formalisme précis et un contenu uniformisé ; 

- il est déposé au siège social de l’organisme quinze jours minimum avant 
la date de l’assemblée générale (AG). Il est présenté à l’organisme et au 
comité d’entreprise avant l’AG. Il est déposé au greffe avec les comptes 
annuels au plus tard un mois après l’AG. 



■■ L’audit des systèmes d’information 

Les systèmes d’information prennent une place de plus en plus centrale dans 
la vie des entreprises et des organisations. De ce fait, l’audit des systèmes 
d’information devient un outil fort utile. L’audit des systèmes d’information 
est plus qu’un audit informatique : on s’intéresse au système c’est-à-dire 
aux matériels et aux logiciels. Mais aussi aux réseaux et communications. 
Et également à l’organisation (processus, procédures, modes opératoires, 
etc.) et au personnel (assurant la gestion, l’exploitation, le développement, la 
conception, les tests, etc.). Et à l’entreprise en général (notion d’alignement 
stratégique des systèmes d’information). Sans oublier de s’intéresser aux 
données (mise à disposition, sécurité, sauvegarde, etc.). 

L’audit de système d’information est souvent vu sous l’angle « audit de gou- 
vernance » ou « audit financier ». Dans ce type d’audits comme dans bien 
d’autres où l’audit peut favoriser le progrès, la mise à niveau, l’efficience, la 
maturité des systèmes d’information, il est nécessaire de cadrer l’audit dès 
le départ grâce à un cahier des charges pertinent. 

Par quoi se caractérise un audit de gouvernance ? Et un audit financier du 
système d’information ? Comment établir le cahier des charges pour un audit 
du système d’information le plus pertinent possible ? Nous vous proposons 
quelques éléments de réponses dans les paragraphes suivants. 



□ L’audit de gouvernance des systèmes d’information 

Le fonctionnement des grandes organisations dépend de plus en plus 
du traitement de l’information. La dématérialisation croissante induit des 
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